EncryptHub, um conhecido ator de ameaças associado a violações em 618 organizações, acredita-se que tenha relatado duas vulnerabilidades zero-day do Windows à Microsoft, revelando uma figura conflituosa que oscila entre o cibercrime e a pesquisa de segurança.
As vulnerabilidades relatadas são
CVE-2025-24061
(bypass de Mark of the Web) e
CVE-2025-24071
(spoofing do File Explorer), que a Microsoft tratou durante as atualizações de Patch Tuesday de março de 2025, reconhecendo o relator como 'SkorikARI com SkorikARI.'
Um novo relatório dos pesquisadores da Outpost24 agora vinculou o ator de ameaças EncryptHub a SkorikARI depois que o ator de ameaças supostamente se infectou e expôs suas credenciais.
Essa exposição permitiu que os pesquisadores vinculassem o ator de ameaças a várias contas online e expusessem o perfil de uma pessoa que vacila entre ser um pesquisador de cibersegurança e um cibercriminoso.
Uma das contas expostas é SkorikARI, que o hacker usou para divulgar as duas vulnerabilidades zero-day mencionadas para a Microsoft, contribuindo para a segurança do Windows.
Hector Garcia, Analista de Segurança na Outpost24, disse que a ligação do SkorikARI ao EncryptHub é baseada em várias evidências, formando uma avaliação de alta confiança.
"A prova mais concreta foi o fato de que os arquivos de senha que o EncrypHub exfiltrou de seu próprio sistema tinham contas vinculadas ao EncryptHub, como credenciais para o EncryptRAT, que ainda estava em desenvolvimento, ou sua conta em xss.is, e para o SkorikARI, como acessos a sites freelance ou sua própria conta do Gmail," explicou Garcia.
Também houve um login em hxxps://github[.]com/SkorikJR, que foi mencionado no artigo da Fortinet de julho sobre o Fickle Stealer, juntando tudo.
Outra enorme confirmação da ligação entre os dois foram as conversas com o ChatGPT, onde a atividade relacionada tanto ao EncryptHub quanto ao SkorikARI pode ser observada.
A incursão do EncryptHub em zero-days não é novidade, com o ator de ameaças ou um dos membros tentando vender zero-days para outros cibercriminosos em fóruns de hacking.
A Outpost24 mergulhou na jornada do EncryptHub, afirmando que o hacker alterna repetidamente entre trabalhos de desenvolvimento freelance e atividade de cibercrime.
Apesar de sua aparente expertise em TI, o hacker teria sido vítima de práticas ruins de opsec que permitiram que suas informações pessoais fossem expostas.
Isso inclui o uso do hacker do ChatGPT para desenvolver malware e sites de phishing, integrando código de terceiros e pesquisando vulnerabilidades.
O ator de ameaças também teve um envolvimento pessoal mais profundo com o chatbot LLM da OpenAI, em um caso descrevendo suas conquistas e pedindo à IA para classificá-lo como um hacker legal ou um pesquisador malicioso.
Com base nas entradas fornecidas, o ChatGPT o avaliou como 40% black hat, 30% grey hat, 20% white hat e 10% incerto, refletindo um indivíduo moral e praticamente conflituoso.
O mesmo conflito é refletido em seu planejamento futuro no ChatGPT, onde o hacker pede ajuda do chatbot para organizar uma campanha massiva, mas "inofensiva", impactando dezenas de milhares de computadores para publicidade.
EncryptHub é um ator de ameaças que se acredita estar vagamente afiliado a gangues de ransomware, como RansomHub e as operações BlackSuit.
No entanto, mais recentemente, os atores de ameaças fizeram um nome para si mesmos com várias campanhas de engenharia social, ataques de phishing e criando um infostealer baseado em PowerShell chamado Fickle Stealer.
O ator de ameaças também é conhecido por conduzir campanhas de engenharia social onde criam perfis de mídia social e websites para aplicações fictícias.
Em um exemplo, os pesquisadores descobriram que o ator de ameaças criou uma conta X e um site para uma aplicação de gerenciamento de projetos chamada GartoriSpace.
Este site foi promovido através de mensagens privadas em plataformas de mídia social que forneceriam um código necessário para baixar o software.
Ao baixar o software, dispositivos Windows receberiam um arquivo PPKG [VirusTotal] que instalava o Fickle Stealer, e dispositivos Mac recebiam o ladrão de informações AMOS [VirusTotal].
EncryptHub também foi vinculado a ataques zero-day do Windows explorando uma vulnerabilidade do Microsoft Management Console rastreada como
CVE-2025-26633
.
A falha foi corrigida em março, mas foi atribuída ao Trend Micro em vez do ator de ameaças.
No geral, as campanhas dos atores de ameaças parecem estar funcionando para eles, já que um relatório da Prodaft afirma que os atores de ameaças comprometeram mais de seiscentas organizações.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...