Um suposto ator individual por trás da persona EncryptHub foi reconhecido pela Microsoft por descobrir e relatar duas falhas de segurança no Windows no mês passado, pintando um quadro de um indivíduo "conflitante" que equilibra uma carreira legítima em cibersegurança e pratica cibercrimes.
Em uma nova análise detalhada publicada pela Outpost24 KrakenLabs, a empresa sueca de segurança desmascarou o cibercriminoso emergente, que, cerca de 10 anos atrás, fugiu de sua cidade natal em Kharkov, na Ucrânia, para um novo local perto da costa da Romênia.
As vulnerabilidades foram creditadas pela Microsoft a uma parte denominada "SkorikARI com SkorikARI", que foi avaliada como outro nome de usuário utilizado por EncryptHub.
As falhas em questão, ambas corrigidas pela Redmond como parte de sua atualização Patch Tuesday do mês passado, são:
-
CVE-2025-24061
(pontuação CVSS: 7.8) - Vulnerabilidade de Bypass de Recurso de Segurança Mark-of-the-Web (MotW) do Microsoft Windows;
-
CVE-2025-24071
(pontuação CVSS: 6.5) - Vulnerabilidade de Spoofing do Explorador de Arquivos do Microsoft Windows
EncryptHub, também rastreado sob os codinomes LARVA-208 e Water Gamayun, foi destacado em meados de 2024 como parte de uma campanha que explorava um site falso do WinRAR para distribuir vários tipos de malware hospedados em um repositório do GitHub denominado "encrypthub".
Nas últimas semanas, o ator de ameaça foi atribuído à exploração de zero-day de outra falha de segurança no Microsoft Management Console (
CVE-2025-26633
, pontuação CVSS: 7.0, conhecido como MSC EvilTwin) para entregar stealers de informações e backdoors anteriormente não documentados nomeados SilentPrism e DarkWisp.
De acordo com a PRODAFT, estima-se que EncryptHub tenha comprometido mais de 618 alvos de alto valor em várias indústrias nos últimos nove meses de operação.
"Todos os dados analisados ao longo de nossa investigação apontam para as ações de um único indivíduo", disse Lidia Lopez, Analista Sênior de Inteligência de Ameaças na Outpost24.
"No entanto, não podemos descartar a possibilidade de colaboração com outros atores de ameaças.
Em um dos canais do Telegram usados para monitorar estatísticas de infecção, havia outro usuário do Telegram com privilégios administrativos, sugerindo uma cooperação ou assistência potenciais de outros sem uma afiliação de grupo clara."
A Outpost24 disse que conseguiu reunir o rastro online de EncryptHub a partir das "autoinfecções do ator devido a práticas de segurança operacional deficientes", descobrindo novos aspectos de sua infraestrutura e ferramentas no processo.
Acredita-se que o indivíduo tenha mantido um perfil baixo depois de se mudar para um lugar não especificado perto da Romênia, estudando ciência da computação por conta própria ao se inscrever em cursos online, enquanto buscava empregos relacionados à computação por fora.
Toda a atividade do ator de ameaças, no entanto, cessou abruptamente no início de 2022, coincidindo com o início da guerra Russo-Ucraniana.
Dito isso, a Outpost24 disse ter encontrado evidências que sugerem que ele foi preso na mesma época.
"Uma vez liberado, ele retomou sua busca por emprego, desta vez oferecendo serviços freelancers de desenvolvimento web e de aplicativos, o que ganhou alguma tração", disse a empresa no relatório.
Mas o pagamento provavelmente não foi suficiente, e após tentar brevemente programas de bug bounty com pouco sucesso, acreditamos que ele migrou para o cibercrime no primeiro semestre de 2024.
Uma das primeiras incursões de EncryptHub na paisagem do cibercrime é o Fickle Stealer, que foi documentado pela primeira vez pela Fortinet FortiGuard Labs em junho de 2024 como um malware stealer de informações baseado em Rust distribuído via múltiplos canais.
Em uma entrevista recente com o pesquisador de segurança g0njxa, o ator de ameaça afirmou que o Fickle "entrega resultados em sistemas onde StealC ou Rhadamantys nunca funcionariam" e que ele "passa pelos sistemas antivírus corporativos de alta qualidade".
Eles também afirmaram que o stealer não está sendo compartilhado apenas privatamente, mas também é "integral" a outro produto deles chamado EncryptRAT.
"Fomos capazes de associar o Fickle Stealer com um pseudônimo anteriormente ligado ao EncryptHub", disse Lopez.
Além disso, um dos domínios ligados a essa campanha coincide com a infraestrutura conectada ao seu trabalho freelance legítimo.
De nossa análise, estimamos que a atividade cibercriminosa de EncryptHub tenha começado por volta de março de 2024.
O relatório da Fortinet em junho provavelmente marca a primeira documentação pública dessas ações.
Diz-se também que EncryptHub confiou extensivamente no ChatGPT da OpenAI para auxiliar no desenvolvimento de malware, chegando até a usá-lo para auxiliar na tradução de e-mails e mensagens e como uma ferramenta confessional.
"O caso EncryptHub destaca como a má segurança operacional permanece uma das fraquezas mais críticas para os cibercriminosos", Lopez apontou.
Apesar da sofisticação técnica, erros básicos - como reutilização de senhas, infraestrutura exposta e mesclagem de atividades pessoais com criminosas - levaram finalmente à sua exposição.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...