EncryptHub, un actor de amenințare notoriu asociat cu breșe la 618 organizații, este crezut că a raportat două vulnerabilități zero-day Windows către Microsoft, dezvăluind o figură conflictuală care jonglează între criminalitatea cibernetică și cercetarea în domeniul securității.
Vulnerabilitățile raportate sunt CVE-2025-24061 (trecerea de Mark of the Web) și CVE-2025-24071 (spoofing-ul File Explorer), pe care Microsoft le-a remediat în cadrul actualizărilor Patch Tuesday din martie 2025, recunoscând reporterul drept ‘SkorikARI cu SkorikARI’.
Un nou raport realizat de cercetătorii Outpost24 a legat acum actorul de amenințare EncryptHub cu SkorikARI după ce presupusul actor de amenințare s-ar fi infectat și ar fi expus propriile sale credențiale.
Această expunere a permis cercetătorilor să asocieze actorul de amenințare cu diverse conturi online și să expună profilul unei persoane care oscilează între a fi un cercetător în domeniul securității cibernetice și un criminal cibernetic.
Unul dintre conturile expuse este SkorikARI, pe care hackerul l-a folosit pentru a dezvălui cele două vulnerabilități zero-day menționate către Microsoft, contribuind la securitatea Windows-ului.
Hector Garcia, analist de securitate la Outpost24, a declarat pentru BleepingComputer că legătura dintre SkorikARI și EncryptHub se bazează pe mai multe dovezi, constituind o evaluare de încredere ridicată.
‘Cea mai puternică dovadă a provenit din faptul că fișierele de parole exfiltrate de EncrypHub din propriul său sistem aveau conturi asociate atât cu EncryptHub, cum ar fi credențiale pentru EncryptRAT, care se afla încă în dezvoltare, sau contul său de pe xss.is, cât și cu SkorikARI, cum ar fi accesul la site-urile de freelance sau propriul său cont Gmail,’ a explicat Garcia.
‘A existat și un login la hxxps://github[.]com/SkorikJR, menționat în articolul Fortinet din iulie despre Fickle Stealer, aducând totul laolaltă.’
‘O altă confirmare majoră a legăturii dintre cei doi a fost dată de conversațiile cu ChatGPT, unde se poate observa activitate legată atât de EncryptHub, cât și de SkorikARI.’
Incursiunea lui EncryptHub în domeniul vulnerabilităților zero-day nu este nouă, cu actorul de amenințare sau unul dintre membrii încercând să vândă vulnerabilități zero-day altor criminali cibernetici pe forumuri de hacking.
Outpost24 a investigat călătoria lui EncryptHub, afirmând că hackerul oscilează repetat între munca de dezvoltare independentă și activitatea de criminalitate cibernetică.
În ciuda expertizei sale aparente în IT, hackerul a căzut victima unor practici proaste de opsec care i-au permis expunerea informațiilor personale.
Acestea includ utilizarea lui ChatGPT pentru dezvoltarea de malware și site-uri de phishing, integrarea de coduri terțe și cercetarea vulnerabilităților.
Actorul de amenințare a avut și o implicare personală mai profundă cu chatbot-ul LLM de la OpenAI, descriind într-un caz realizările sale și cerând AI-ului să-l categorizeze drept un hacker cool sau un cercetător malefic.
Bazându-se pe informațiile furnizate, ChatGPT l-a evaluat ca fiind 40% black hat, 30% grey hat, 20% white hat și 10% nesigur, reflectând un individ moral și practic conflictual.
Aceeași conflictualitate este reflectată în planurile sale viitoare pe ChatGPT, unde hackerul cere ajutorul chatbot-ului în organizarea unei campanii masive, dar ‘inofensive’ care să afecteze zeci de mii de computere pentru publicitate.
EncryptHub este un actor de amenințare care se crede că este afiliat cu gangurile de ransomware, cum ar fi RansomHub și operațiunile BlackSuit.
Cu toate acestea, mai recent, actorii de amenințare și-au făcut un nume cu diverse campanii de inginerie socială, atacuri de phishing și crearea unui infostealer personalizat bazat pe PowerShell numit Fickle Stealer.
Actorul de amenințare este de asemenea cunoscut pentru desfășurarea de campanii de inginerie socială în care creează profiluri de social media și site-uri web pentru aplicații fictive.
Într-un exemplu, cercetătorii au descoperit că actorul de amenințare a creat un cont X și un site web pentru o aplicație de management de proiect numită GartoriSpace.
Acest site a fost promovat prin mesaje private pe platformele de socializare care furnizau un cod necesar pentru descărcarea software-ului. La descărcarea software-ului, dispozitivele Windows primeau un fișier PPKG care instala Fickle Stealer, iar dispozitivele Mac primeau infostealerul AMOS.
EncryptHub a fost de asemenea asociat cu atacuri zero-day Windows care exploatează o vulnerabilitate a Microsoft Management Console urmărită ca fiind CVE-2025-26633. Defecțiunea a fost remediată în martie, dar a fost atribuită Trend Micro și nu actorului de amenințare.
În general, campaniile actorilor de amenințare par să le reușească, conform unui raport de la Prodaft care spune că aceștia au compromis peste șase sute de organizații.
Pe baza unei analize a 14M acțiuni malitioase, descoperiți cele 10 tehnici MITRE ATT&CK din spatele a 93% dintre atacuri și cum să vă apărați împotriva lor.
EncryptHub asociat cu atacuri zero-day MMC pe sistemele Windows
Noul zero-day Windows exploatat de 11 grupuri de hacking statale din 2017
Microsoft Patch Tuesday din martie 2025 remediază 7 zero-day-uri, 57 de defecțiuni
Broadcom remediază trei zero-day-uri VMware exploatate în atacuri
Microsoft dezvăluie criminalii cibernetici din spatele rețelei AI deepfake
Leave a Reply