Un informe de Trend Micro revela que el actor de amenazas EncryptHub, también conocido como Larva-208 o Water Gamayun, ha explotado en sus ataques la vulnerabilidad CVE-2025-26633 (CVSSv3 de 7.0 de acuerdo con Microsoft), un problema 0-day de elusión de funciones de seguridad de la consola de gestión de Microsoft.
EncryptHub ha desarrollado una técnica para aprovecharse de la falla, la cual Trend Micro ha nombrado como MSC EvilTwin, que consiste en manipular archivos .msc y la ruta de la Interfaz de Usuario Multilingüe (MUIPath) para descargar y ejecutar cargas útiles maliciosas, dado que el usuario no recibe una advertencia antes de cargar archivos MSC inesperados en dispositivos sin parches.
En los ataques, EncryptHub ha implementado múltiples familias de malware como la puerta trasera SilentPrism, o los infostealers Stealc y Rhadamanthys.