俄罗斯黑客通过 MSC EvilTwin部署 SilentPrism 和 DarkWisp

已发现零日漏洞利用 Microsoft Windows 中最近修补的安全漏洞的威胁行为者提供了两个名为 SilentPrism 和 DarkWisp 的新后门。
该活动被归因于一个名为 Water Gamayun 的疑似俄罗斯黑客组织，该组织也被称为 EncryptHub 和 LARVA-208。
“威胁行为者主要通过恶意配置包、签名.msi文件和 Windows MSC 文件来部署有效负载，使用 IntelliJ runnerw.exe 等技术执行命令，”趋势科技研究人员 Aliakbar Zahravi 和 Ahmed Mohamed Ibrahim 在上周发布的后续分析中表示。
Water Gamayun 与积极利用 CVE-2025-26633（又名 MSC EvilTwin）与 Microsoft 管理控制台 （MMC） 框架中的一个漏洞有关，该漏洞通过流氓 Microsoft 控制台 （.msc） 文件执行恶意软件。
攻击链涉及使用供应包 （.ppkg）、签名Microsoft Windows Installer 文件 （.msi） 和 .msc 文件来提供能够持久化和数据盗窃的信息窃取程序和后门程序。