عوامل تهدید مرتبط با اکسپلویت از آسیبپذیری روز صفر تازه وصله شده در سیستم عامل ویندوز، به انتشار دو دربپشتی جدید با نامهای SilentPrism و DarkWisp مرتبط شناخته شدند.
اکسپلویت از آسیبپذیری با شناسه CVE-2025-26633 (معروف به MSC EvilTwin) به گروه هکری مظنون روسی با نام Water Gamayun (با نامهای دیگری مانند EncryptHub و LARVA-208 نیز شناخته میشود) نسبت داده شد. به گفته پژوهشگران Trend Micro، این گروه payloadهای مخرب را از طریق پکیجهای پیکربندی مخرب، فایلهای MSI امضا شده، و فایلهای MSC ویندوز منتشر میکند و جهت اجرای دستورات از تکنیکی به نام `runnerw.exe` متعلق به IntelliJ بهره میبرد.
این آسیبپذیری در چارچوب Microsoft Management Console (MMC) وجود دارد و از طریق فایل msc. مخرب به نفوذگر امکان اجرای بدافزار را میدهد. فایلهای MSI مخرب در حملات در قالب نرمافزارهای پیامرسان یا ویدئو کنفرانس نظیر DingTalk، QQTalk و VooV Meeting عرضه میشوند. فایلهای مذکور اقدام به اجرای اسکریپت پاورشل میکنند که مرحله بعدی بدافزار را دانلود و راهاندازی میکند.
https://thehackernews.com/2025/03/russian-hackers-exploit-cve-2025-26633.html
