«Клиента» убеждают открыть удалённый доступ и выполнить набор команд, а затем разворачивают полезную нагрузку через брешь CVE-2025-26633, известную как MSC EvilTwin. Группа использует нестандартные каналы доставки, в том числе площадку Brave Support, что усложняет фильтрацию трафика и анализ происшествий. Это пишет Securitylab.
В сводках фигурируют и другие имена этой же команды — LARVA-208 и Water Gamayun; ранее она уже «засвечивалась» на атаках против разработчиков Web3 и злоупотреблении платформой Steam, а по состоянию на февраль речь шла о 618 скомпрометированных организациях по всему миру.
Картина в целом выглядит цельной: уговор по телефону, Teams-сеанс, однострочник PowerShell, двойные .msc и MUIPath-подмена, связка из build.ps1 и Fickle Stealer, загрузчики, написанные на Go, и SOCKS5-туннели, маскировка под поддержку Brave и фальшивые видеозвонки. Такой конвейер рассчитан на то, чтобы обойти защитные барьеры, зацепиться в сети и вести операции под прикрытием привычных процессов. Патч для CVE-2025-26633 уже выпущен, но EncryptHub продолжает атаковать забывчивых — там, где обновления не доставлены или политики позволяют запускать неподписанные сценарии, шансы на успешный взлом по-прежнему высоки.
Индикаторы компрометации, по наблюдениям SpiderLabs, включают домены и адреса: rivatalk[.]net, 0daydreams[.]net, cjhsbam[.]com, safesurf.fastdomain-uoemathhvq.workers[.]dev, 185.33.86.220. Эти метки пересекаются с описанной выше инфраструктурой — Brave Support-ссылками, Cloudflare Workers-узлом для выдачи PowerShell-кода и «видеоплатформой» RivaTalk, которая раздаёт setup.msi только по приглашению.