Групата за постоянни киберзаплахи Water Gamayun засилва активността си през 2025 г., като интегрира експлоатация на новооткрита уязвимост в Windows – MSC EvilTwin, проследявана като CVE-2025-26633. Тази слабост позволява злоупотреба с Microsoft Management Console (MMC) чрез подменени .msc файлове, което значително улеснява изпълнението на скрит PowerShell код и заобикалянето на защитни механизми.

Кампаниите са насочени към правителствени институции, критична инфраструктура и корпоративни среди, като атакуващите търсят начини да крадат чувствителни данни, удостоверения и да установяват дългосрочен достъп до мрежи.

Как започва атаката: от компрометиран сайт до подвеждащ документ

Началният етап включва пренасочване от резултат при търсене към компрометирана страница, която автоматично отвежда жертвата към домейн, имитиращ легитимна услуга. Там се предлага фалшив документ, замаскиран като PDF, но реално представляващ модифициран RAR архив (пример: hiringassistant.pdf.rar).

След разархивиране зловредният компонент отпада подготвен .msc файл, който се зарежда от mmc.exe, задействайки експлойта. Именно тук се използва уязвимостта EvilTwin – чрез  TaskPad конфигурации, позволяващи на атакуващите да изпълняват невидими PowerShell команди.

Многоетапна структура: обфускация, стегнати архиви и прикрити процеси

Според анализа на Zscaler, Water Gamayun използва сложно верижно изпълнение, което включва:

• паролно защитени архиви,

• код за скриване на прозорци и процеси,

• подмяна на файлове,

• изтегляне на допълнителни модули,

• процесна инжекция и персистентни механизми.

Първи етап: PowerShell с кодирани команди

След зареждане на .msc файла, mmc.exe изпълнява EncodedCommand инструкции като:

Този скрипт изтегля легитимни инструменти (например UnRAR.exe), с чиято помощ разархивира следващите компоненти.

Втори етап: .NET модул и скриване на активността

Злонамереният PowerShell конструира в движение .NET модул, чиято задача е да:

• прикрива прозорци на изпълняващи се процеси,

• стартира подмамен PDF, за да разсее жертвата,

• отпадне и стартира окончателния изпълним файл — ItunesC.exe.

Финален етап: персистентност и комуникация с инфраструктурата на атакуващите

ItunesC.exe създава множество инстанции за устойчивост и иницира мрежови връзки към външни IP адреси, използвани от Water Gamayun за командно-контролна комуникация.

Защо Water Gamayun се свързва с експлойта?

Zscaler приписва кампанията на групата въз основа на:

• рядката злоупотреба с MSC EvilTwin,

• характерна PowerShell обфускация,

• използването на примамки под формата на job документи,

• сходна инфраструктура и предишни артефакти, наблюдавани в кампании на Water Gamayun.

Какво трябва да наблюдават защитните екипи

Тази кампания показва, че многоетапните атаки с обфускация и модулно изпълнение остават реална заплаха дори за среди с модерни защитни решения.

Ключови индикатори за наблюдение:

• необичайни .msc файлове,

• използване на mmc.exe като парент на PowerShell,

• EncodedCommand PowerShell повиквания,

• изпълнение на процеси след разархивиране на множество архиви,

• подозрителни връзки към външни IP адреси от нови процеси,

• изпълними файлове с нехарактерни имена, подобни на системни.

Атаките на Water Gamayun демонстрират как умелото комбиниране на фалшиви документи, уязвимости в MSC, многоетапно разпространение и маскиране на процеси може да заобиколи дори напреднали защитни системи. Компаниите трябва да засилят мониторинга на PowerShell, процесни връзки и нехарактерни разширения, както и да осигурят бързо внедряване на корекции, свързани с уязвимостта CVE-2025-26633.