Microsoft Credita EncryptHub, Hacker Por Trás de 618+ Violações, por Divulgar Falhas no Windows – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Um indivíduo provavelmente agindo sozinho por trás da persona EncryptHub foi reconhecido pela Microsoft por descobrir e relatar duas falhas de segurança no Windows no mês passado, pintando um quadro de uma pessoa “conflituosa” que se dividia entre uma carreira legítima em segurança cibernética e a prática de crimes cibernéticos.

Em uma nova análise extensiva publicada pela Outpost24 KrakenLabs, a empresa sueca de segurança desmascarou o cibercriminoso em ascensão, que, aproximadamente 10 anos atrás, fugiu de sua cidade natal em Kharkov, Ucrânia, para um novo local próximo à costa romena.

As vulnerabilidades foram creditadas pela Microsoft a uma parte nomeada “SkorikARI com SkorikARI,” que foi avaliada como outro nome de usuário usado pelo EncryptHub. As falhas em questão, ambas corrigidas pela Redmond como parte de sua atualização de Patch Tuesday no mês passado, são:

– CVE-2025-24061 (pontuação CVSS: 7.8) – Vulnerabilidade de Contorno de Segurança Mark-of-the-Web (MotW) do Microsoft Windows
– CVE-2025-24071 (pontuação CVSS: 6.5) – Vulnerabilidade de Falsificação do Windows File Explorer do Microsoft Windows

EncryptHub, também rastreado sob os nomes de LARVA-208 e Water Gamayun, foi destacado em meados de 2024 como parte de uma campanha que usou um site falso do WinRAR para distribuir vários tipos de malware hospedados em um repositório do GitHub chamado “encrypthub.”

Nas últimas semanas, o ator de ameaças foi atribuído à exploração zero-day de outra falha de segurança no Console de Gerenciamento da Microsoft (CVE-2025-26633, pontuação CVSS: 7.0, também conhecida como MSC EvilTwin) para fornecer rouba-informações e backdoors não documentados anteriormente chamados SilentPrism e DarkWisp.

De acordo com a PRODAFT, estima-se que o EncryptHub comprometeu mais de 618 alvos de alto valor em múltiplas indústrias nos últimos nove meses de operação.

“Todas as informações analisadas ao longo de nossa investigação apontam para as ações de um único indivíduo,” disse Lidia Lopez, Analista Sênior de Inteligência de Ameaças da Outpost24, ao The Hacker News.

“Entretanto, não podemos descartar a possibilidade de colaboração com outros atores de ameaças. Em um dos canais do Telegram usados para monitorar as estatísticas de infecção, havia outro usuário do Telegram com privilégios administrativos, sugerindo uma cooperação potencial ou assistência de outros sem uma afiliação clara a um grupo.”

A Outpost24 disse que foi capaz de reunir a pegada online do EncryptHub das “autoinfecções do ator devido a práticas pobres de segurança operacional,” descobrindo novos aspectos de sua infraestrutura e ferramentas no processo.

Acredita-se que o indivíduo manteve um perfil discreto após se mudar para um local não especificado perto da Romênia, estudando ciência da computação por conta própria se matriculando em cursos online, enquanto buscava empregos relacionados à computação em paralelo.

Toda a atividade do ator de ameaças, no entanto, cessou abruptamente no início de 2022, coincidindo com o início da guerra russo-ucraniana. No entanto, a Outpost24 afirmou ter encontrado evidências que sugerem que ele foi preso na mesma época.

“Após sua liberação, ele retomou sua busca por emprego, desta vez oferecendo serviços freelance de desenvolvimento web e de aplicativos, que ganharam certa tração,” disse a empresa no relatório. “Mas o pagamento provavelmente não era suficiente, e depois de tentar brevemente programas de recompensas de bugs com pouco sucesso, acreditamos que ele se voltou para o cibercrime no primeiro semestre de 2024.”

Uma das primeiras incursões do EncryptHub no cenário de cibercrime é o Fickle Stealer, que foi documentado pela primeira vez pelos Laboratórios Fortinet FortiGuard em junho de 2024 como um malware de roubo de informações baseado em Rust distribuído por múltiplos canais.

Em uma entrevista recente com o pesquisador de segurança g0njxa, o ator de ameaças afirmou que o Fickle “fornece resultados em sistemas onde o StealC ou Rhadamantys (sic) nunca funcionariam” e que “passa pelos sistemas antivírus corporativos de alta qualidade.” Eles também afirmaram que o rouba-informações não só está sendo compartilhado de forma privada, mas também é “essencial” para outro produto deles chamado EncryptRAT.

“Conseguimos associar o Fickle Stealer a um alias anteriormente ligado ao EncryptHub,” disse Lopez. “Além disso, um dos domínios vinculados àquela campanha corresponde à infraestrutura conectada ao seu trabalho legítimo como freelancer. De acordo com nossa análise, estimamos que a atividade cibercriminosa do EncryptHub começou por volta de março de 2024. A reportagem da Fortinet em junho provavelmente marca a primeira documentação pública dessas ações.”

Diz-se também que o EncryptHub dependeu extensivamente do ChatGPT da OpenAI para ajudar no desenvolvimento de malware, chegando ao ponto de usá-lo para auxiliar na tradução de e-mails e mensagens e como uma ferramenta de confissão.

“O caso do EncryptHub destaca como a segurança operacional precária permanece uma das fraquezas mais críticas para os cibercriminosos,” Lopez apontou. “Apesar da sofisticação técnica, erros básicos – como reutilização de senhas, infraestrutura exposta e mistura de atividades pessoais com criminosas – acabaram levando à sua exposição.”

Encontrou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo postado por nós.

Você também pode gostar

Tendências Recentes em Ataques e Métodos de Brecha Oferecem um Valioso Mapa para Profissionais de Segurança Cibernética.

Um Investimento Seguro Para o Seu Futuro

A Injustiça Escondida dos Ataques Cibernéticos