Microsoft reconhece Hacker por revelar falhas críticas no Windows

A Microsoft reconheceu um possível "lobo solitário" por trás da persona EncryptHub, por descobrir e relatar duas falhas de segurança no Windows no mês passado. A empresa descreveu EncryptHub como um indivíduo "conflituoso", que equilibrava uma carreira legítima em cibersegurança com atividades criminosas no cibercrime.

Em uma análise detalhada publicada pela empresa de segurança sueca Outpost24 KrakenLabs, o cybercriminoso, que há cerca de 10 anos fugiu de sua cidade natal em Kharkov, Ucrânia, para uma localidade próxima à costa da Romênia, foi desmascarado. A Microsoft creditou a descoberta das falhas a um usuário identificado como "SkorikARI with SkorikARI", que foi avaliado como outro nome de usuário usado por EncryptHub. As vulnerabilidades corrigidas pela Microsoft em sua atualização de Patch Tuesday no mês passado são:

• CVE-2025-24061 (Pontuação CVSS: 7,8) - Vulnerabilidade de Bypass de Funcionalidade de Segurança Mark-of-the-Web (MotW) no Windows

• CVE-2025-24071 (Pontuação CVSS: 6,5) - Vulnerabilidade de Falsificação do Windows File Explorer

EncryptHub, também conhecido como LARVA-208 e Water Gamayun, foi destaque em meados de 2024, como parte de uma campanha que usava um site falso do WinRAR para distribuir diversos malwares hospedados em um repositório no GitHub chamado "encrypthub". Nas últimas semanas, o ator de ameaça foi atribuído à exploração de zero-day em outra falha de segurança na Microsoft Management Console (CVE-2025-26633, Pontuação CVSS: 7.0, também conhecida como MSC EvilTwin), com o objetivo de entregar ladrões de informações e backdoors, como SilentPrism e DarkWisp.

De acordo com a PRODAFT, EncryptHub é responsável por comprometer mais de 618 alvos de alto valor em diversas indústrias nos últimos nove meses de atividade. "Todos os dados analisados em nossa investigação apontam para as ações de um único indivíduo", afirmou Lidia Lopez, analista sênior de inteligência de ameaças da Outpost24.

Outpost24 revelou que conseguiu reconstruir a pegada online de EncryptHub a partir de "autoinfecções devido a práticas de segurança operacional deficientes", descobrindo novos aspectos da infraestrutura e ferramentas do criminoso. O indivíduo parece ter mantido um perfil baixo após se mudar para um local não especificado perto da Romênia, onde estudou ciência da computação por conta própria e buscou empregos relacionados a tecnologia.

No entanto, toda a atividade do hacker cessou abruptamente no início de 2022, coincidindo com o início da guerra Russo-Ucraniana. Outpost24 encontrou indícios de que ele foi preso por volta dessa época, mas retomou suas atividades após ser liberado, oferecendo serviços freelance de desenvolvimento de sites e aplicativos.

Uma das primeiras iniciativas de EncryptHub no cenário do cibercrime foi o Fickle Stealer, malware baseado em Rust que foi documentado pela Fortinet FortiGuard Labs em junho de 2024 e distribuído por diversos canais. Recentemente, em uma entrevista com o pesquisador de segurança g0njxa, o hacker afirmou que o Fickle "entrega resultados em sistemas onde outros malwares, como StealC ou Rhadamantys, nunca funcionariam", e que ele "passa por sistemas de antivírus corporativos de alta qualidade". Eles também mencionaram que o malware é "integral" a outro produto seu chamado EncryptRAT.

EncryptHub é também mencionado por utilizar extensivamente o ChatGPT da OpenAI para auxiliar no desenvolvimento de malware, até mesmo usando-o para traduzir e-mails e mensagens, além de ser uma ferramenta de confissão para o hacker. "O caso de EncryptHub destaca como a segurança operacional deficiente continua sendo uma das falhas mais críticas para os cibercriminosos", apontou Lopez. "Apesar da sofisticação técnica, erros básicos — como reutilização de senhas, infraestrutura exposta e mistura de atividades pessoais com criminosas — acabaram levando à sua exposição."

Via - THN