FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

Zscaler威胁猎捕团队发现了一项复杂的新型网络间谍活动，揭露了与俄罗斯有关联的高级持续性威胁（APT）组织Water Gamayun如何利用Windows系统中的0Day漏洞渗透高价值网络。

攻击始于看似无害的商业解决方案网页搜索，但很快升级为"对Windows MMC漏洞的复杂利用，最终投放隐藏的PowerShell有效载荷和最终阶段的恶意软件加载器"。

核心漏洞：CVE-2025-26633（MSC EvilTwin）

该攻击活动的核心是利用编号为CVE-2025-26633的漏洞（代号"MSC EvilTwin"）。该漏洞针对Windows核心管理工具Microsoft管理控制台（MMC）。

Water Gamayun的技术手段涉及直接将恶意代码注入mmc.exe进程。报告详细说明，初始有效载荷"利用MSC EvilTwin（CVE-2025-26633）将代码注入mmc.exe，通过TaskPad管理单元命令启动一系列隐藏的PowerShell阶段"。通过使用MMC等受信任的系统二进制文件执行代码，攻击者可绕过许多信任合法Windows进程的标准安全检测机制。

精心设计的感染链条

Zscaler研究人员发现的感染链条揭示了一个精心设计的社会工程策略，旨在滥用用户信任：

1. 诱饵阶段：搜索"BELAY"（一种人员配置解决方案服务）的受害者会从被入侵的合法网站静默重定向到仿冒域名belaysolutions[.]link
2. 欺骗阶段：恶意域名托管名为Hiring_assistant.pdf.rar的文件。这种"伪装成PDF的双扩展名RAR有效载荷"诱使用户误以为下载的是无害的宣传册
3. 执行阶段：当用户打开压缩包时，会触发MSC EvilTwin漏洞利用。该操作启动隐藏的PowerShell脚本，下载解压工具（UnRAR.exe）和包含下一阶段恶意软件的密码保护压缩包
4. 持久化阶段：最终阶段安装名为ItunesC.exe的加载器。由于命令控制服务器无响应，无法确认具体恶意软件家族，但Water Gamayun已知会部署SilentPrism和DarkWisp等后门程序，或Rhadamanthys等窃密软件

攻击组织与动机

Zscaler以"高度可信"的评估将该活动归因于Water Gamayun——一个专门从事供应链攻击和0Day漏洞利用的组织。

该组织的主要动机似乎是"针对具有高商业或地缘政治价值组织的战略情报收集"以及"窃取凭证以促成进一步入侵"。此活动凸显了其高标准的操作安全（OPSEC）规范，通过复杂的混淆链和分层技术来"规避现代安全防护体系"。

参考来源：

Water Gamayun Weaponizes “MSC EvilTwin” Zero-Day for Stealthy Backdoor Attacks

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）