Microsoft ha recentemente riconosciuto il contributo di EncryptHub, un hacker associato a oltre 618 violazioni di sicurezza, per la scoperta e la segnalazione di due vulnerabilità di sicurezza in Windows. Questo individuo, che opera sotto il nome di EncryptHub, sembra vivere una doppia vita tra la legittima carriera nella sicurezza informatica e le attività cybercriminali.

Dettagli sull'analisi

Un'analisi dettagliata condotta da Outpost24 KrakenLabs ha svelato che EncryptHub, originariamente di Kharkov, Ucraina, si è trasferito circa dieci anni fa in una località nei pressi della costa rumena. Le vulnerabilità scoperte, accreditate da Microsoft a "SkorikARI with SkorikARI", un altro alias di EncryptHub, sono state risolte nel Patch Tuesday di marzo 2025. Queste includono una falla nel bypass della sicurezza Mark-of-the-Web e una vulnerabilità di spoofing in File Explorer.

Attività recenti

Al di là delle sue imprese criminali, EncryptHub è noto per aver utilizzato un falso sito WinRAR per distribuire malware tramite un repository GitHub chiamato "encrypthub". Le sue recenti attività comprendono l'uso di un exploit di giorno zero su Microsoft Management Console per distribuire ladri di informazioni e backdoor sconosciute, soprannominate SilentPrism e DarkWisp.

Attacchi e interruzioni

Secondo PRODAFT, EncryptHub ha compromesso oltre 618 bersagli di alto valore in vari settori negli ultimi nove mesi. Sebbene si creda che l'operatore agisca da solo, non si esclude la collaborazione con altri criminali informatici. Le attività di EncryptHub si sono interrotte bruscamente all'inizio del 2022, in coincidenza con lo scoppio della guerra tra Russia e Ucraina, e ci sono indizi che indicano un suo possibile arresto in quel periodo. Dopo il rilascio, ha tentato di rientrare nel mercato del lavoro legittimo offrendo servizi di sviluppo web e app, ma con scarsi risultati.

Progetti e strumenti

Uno dei suoi primi progetti nel crimine informatico è stato Fickle Stealer, un malware di furto di informazioni basato su Rust, documentato per la prima volta da Fortinet nel giugno 2024. EncryptHub ha anche utilizzato ChatGPT di OpenAI per sviluppare malware, tradurre comunicazioni e come strumento di confessione. Questa vicenda sottolinea come la scarsa sicurezza operativa rimanga una delle principali debolezze per i cybercriminali, poiché errori di base come il riuso delle password e le infrastrutture esposte possono portare alla loro identificazione.