Un acteur de loup seul seul derrière le Crupthub Persona a été reconnu par Microsoft pour avoir découvert et signalé deux défauts de sécurité dans Windows le mois dernier, peignant un tableau d’un individu “conflictuel” à cheval sur une carrière légitime dans la cybersécurité et la poursuite de la cybercriminalité.
Dans un nouveau analyse approfondie Publié par Outpost24 Krakenlabs, la société de sécurité suédoise a démasqué le cybercriminal prometteur, qui, il y a environ 10 ans, a fui sa ville natale à Kharkov, en Ukraine, dans un nouvel endroit quelque part près de la côte roumaine.
Les vulnérabilités ont été créditées par Microsoft à une fête nommée “Skorikari avec Skorikari”, qui a été évaluée comme un autre nom d’utilisateur utilisé par Encrypthub. Les défauts en question, tous deux fixés par Redmond dans le cadre de sa mise à jour du patch mardi le mois dernier, sont ci-dessous –
- CVE-2025-24061 (CVSS Score: 7.8) – Microsoft Windows Mark-of-the-Web (MOTW) Fonction de sécurité Tytrass Vulnérabilité
- CVE-2025-24071 (Score CVSS: 6.5) – Vulnérabilité de l’usurpation de l’explorateur de fichiers Windows Microsoft
Encrypthub, également suivi sous les surnoms Larva-208 et Water Gamayun, a été mis en lumière à la mi-2024 dans le cadre d’une campagne qui a appuyé un site de Winrar de bidon pour distribuer divers types de logiciels malveillants hébergés sur un référentiel Github nommé “Encrypthub”.
Au cours des dernières semaines, l’acteur de menace a été attribué à l’exploitation zéro-jour d’un autre défaut de sécurité dans la console de gestion Microsoft (CVE-2025-26633, score CVSS: 7.0, AKA MSC Eviltwin) pour fournir des voleurs d’informations et des salons non documentés auparavant nommés SilentPrism et Darkwisp.
Selon Prodeft, EncrypThub aurait compromis plus de 618 cibles de grande valeur dans plusieurs industries au cours des neuf derniers mois de son opération.
“Toutes les données analysées tout au long de notre enquête indiquent les actions d’un seul individu”, a déclaré Lidia Lopez, analyste principal du renseignement des menaces à OutPost24, au Hacker News.
“Cependant, nous ne pouvons pas exclure la possibilité d’une collaboration avec d’autres acteurs de menace. Dans l’un des canaux télégrammes utilisés pour surveiller les statistiques d’infection, il y avait un autre utilisateur de télégramme avec des privilèges administratifs, suggérant une coopération ou une assistance potentielle d’autres sans affiliation de groupe claire.”
UptPost24 a déclaré qu’il avait pu reconstituer l’empreinte en ligne de l’encrypthub de “l’auto-infection de l’acteur en raison de mauvaises pratiques de sécurité opérationnelle”, découvrant de nouveaux aspects de leur infrastructure et de leur outillage.
L’individu aurait gardé un profil bas après avoir déménagé dans un endroit non spécifié près de la Roumanie, étudiant l’informatique par eux-mêmes en s’inscrivant à des cours en ligne, tout en recherchant des emplois liés à l’ordinateur à côté.
Toute l’activité de l’acteur de menace, cependant, a brusquement cessé au début de 2022 coïncidant avec le début de la guerre russo-ukrainienne. Cela dit, OutPost24 a déclaré qu’il avait trouvé des preuves suggérant qu’il avait été emprisonné à la même époque.
“Une fois libéré, il a repris sa recherche d’emploi, offrant cette fois les services de développement Web et d’applications indépendants, qui ont gagné un peu de traction”, a indiqué la société dans le rapport. “Mais le salaire n’était probablement pas suffisant, et après avoir brièvement essayé les programmes de primes de bug avec peu de succès, nous pensons qu’il a pivoté dans la cybercriminalité au premier semestre de 2024.”
L’une des premières entreprises d’EncrypThub dans le paysage de la cybercriminalité est le voleur Fickle, qui a été documenté pour la première fois par Fortinet Fortiguard Labs en juin 2024 en tant que malware d’information basé sur la rouille qui est distribué via plusieurs canaux.
Dans un interview récent Avec le chercheur en sécurité G0NJXA, l’acteur de menace a affirmé que Cround “fournit des résultats sur les systèmes où Stealc ou Rhadamantys (SIC) ne fonctionnerait jamais” et qu’il “passe des systèmes antivirus d’entreprise de haute qualité”. Ils ont également déclaré que le voleur n’est pas seulement partagé en privé, mais il fait également “intégrale” à un autre produit de leur surnom.
“Nous avons pu associer le voleur capricieux à un alias précédemment lié à Encrypthub”, a déclaré Lopez. “De plus, l’un des domaines liés à cette campagne correspond à l’infrastructure liée à son travail indépendant légitime. De notre analyse, nous estimons que l’activité cybercriminale d’Encrypthub a commencé vers mars 2024. Le reportage de Fortinet en juin marque probablement la première documentation publique de ces actions.”
EncrypThub aurait également beaucoup compté sur le chatppt d’Openai pour aider au développement de logiciels malveillants, même à la mesure de l’utiliser pour aider à traduire les e-mails et les messages et comme outil confessionnel.
“Le cas de Encrypthub souligne comment la mauvaise sécurité opérationnelle reste l’une des faiblesses les plus critiques pour les cybercriminels”, a souligné Lopez. “Malgré la sophistication technique, les erreurs de base – comme la réutilisation du mot de passe, l’infrastructure exposée et le mélange personnel avec une activité criminelle – ont finalement conduit à son exposition.”




