O grupo de ameaças persistentes avançadas (APT) Water Gamayun intensificou ataques em 2025 explorando a recém-descoberta Vulnerabilidade MSC EvilTwinem sistemas Windows.
Os ataques usam cadeias sofisticadas para invadir redes governamentais e corporativas, furtar credenciais e manter acesso prolongado aos ambientes vítimas.
Como o ataque acontece
Tudo começa com um usuário sendo induzido a acessar um site comprometido via pesquisa online. O site redireciona para um domínio sósia e oferece um arquivo “hiringassistant.pdf.rar”—um RAR disfarçado de PDF.
Ao abrir o arquivo, a vítima executa um payload que explora a falha MSC EvilTwin, criando um arquivo malicioso .msc. Esse arquivo é aberto pelo mmc.exe, que dispara comandos do PowerShell ocultos usando abuso da função TaskPad.
Metodologia multiestágio
O Water Gamayun utiliza arquivos protegidos por senha, técnicas de ocultação de janela e execução por fases: após o RAR, o payload inicializa scripts PowerShell codificados, baixa ferramentas legítimas (como UnRAR.exe), extrai novos arquivos e injeta processos.
Uma das etapas compila um módulo .NET para ocultar janelas maliciosas, exibe um PDF falso para não gerar suspeitas e instalar um carregador persistente (ItunesC.exe), que mantém a comunicação com servidores externos.
Técnicas de ocultação
O grupo abusa de binários confiáveis do Windows, camadas de ofuscação em PowerShell, arquivos protegidos e execução sigilosa para escapar de detecção por antivírus e EDR.
O ataque explora extensões raras, processos encadeados e comunicação oculta — o que exige abordagem redobrada dos tempos de defesa.
Recomendações para defesa
- Monitore o uso de extensões inusitadas (.msc, .rar disfarçadas), execução de PowerShell codificado e cadeias anômalas de processos.
- Implemente bloqueio para arquivos provenientes de fontes externas e aumente a visibilidade sobre ações do mmc.exe.
- Mantenha sistemas e assinaturas de EDR/antivírus sempre atualizados.
- Treine os usuários para não abrir arquivos compactados suspeitos, mesmo quando associados a supostos processos seletivos.
Campanhas como essa demonstram a combinação de abuso de recursos legítimos, engenharia social e técnicas de evasão por grupos APT cada vez mais difíceis de detectar.
