EncryptHub, kimdir ve Microsoft tarafından onaylanan güvenlik açıkları hangi nedenlerle keşfedildi? Cybercrime dünyasına geçiş yapmasına sebep olan faktörler neler? EncryptHub’ün insanları hedef almasıyla ilgili elde edilen istatistikler nelerdir? Çeşitli kişilikleri ve kullanıcı adlarıyla ilişkilendirilen bilgiler hangileridir?
A likely lone wolf actor behind the EncryptHub persona was acknowledged by Microsoft for discovering and reporting two security flaws in Windows last month, painting a picture of a "conflicted" individual straddling a legitimate career in cybersecurity and pursuing cybercrime. In a new extensive analysis published by Outpost24 KrakenLabs, the Swedish security company unmasked the up-and-coming cybercriminal, who, about 10 years ago, fled his hometown in Kharkov, Ukraine, to a new place somewhere near the Romanian coast.
The vulnerabilities were credited by Microsoft to a party named "SkorikARI with SkorikARI," which has been assessed to be another username used by EncryptHub. The flaws in question, both of which were fixed by Redmond as part of its Patch Tuesday update last month, are below –
- CVE-2025-24061 (CVSS score: 7.8) – Microsoft Windows Mark-of-the-Web (MotW) Security Feature Bypass Vulnerability
- CVE-2025-24071 (CVSS score: 6.5) – Microsoft Windows File Explorer Spoofing Vulnerability
EncryptHub, also tracked under the monikers LARVA-208 and Water Gamayun, was spotlighted in mid-2024 as part of a campaign that leveraged a bogus WinRAR site to distribute various kinds of malware hosted on a GitHub repository named "encrypthub."
In recent weeks, the threat actor has been attributed to the zero-day exploitation of another security flaw in Microsoft Management Console (CVE-2025-26633, CVSS score: 7.0, aka MSC EvilTwin) to deliver information stealers and previously undocumented backdoors named SilentPrism and DarkWisp.
According to PRODAFT, EncryptHub is estimated to have compromised over 618 high-value targets across multiple industries in the last nine months of its operation. "All data analyzed throughout our investigation points to the actions of a single individual," Lidia Lopez, Senior Threat Intelligence Analyst at Outpost24, told The Hacker News.
"However, we cannot rule out the possibility of collaboration with other threat actors. In one of the Telegram channels used to monitor infection statistics, there was another Telegram user with administrative privileges, suggesting potential cooperation or assistance from others without a clear group affiliation."
Outpost24 said it was able to piece together EncryptHub’s online footprint from the "actor’s self-infections due to poor operational security practices," uncovering new aspects of their infrastructure and tooling in the process.
The individual is believed to have kept a low profile after moving to an unspecified place near Romania, studying computer science on their own by enrolling for online courses, while seeking computer-related jobs on the side. All of the threat actor’s activity, however, abruptly ceased in early 2022 coinciding with the onset of the Russo-Ukrainian war. That said, Outpost24 said it has found evidence to suggest that he was jailed around the same time.
"Once released, he resumed his job search, this time offering freelance web and app development services, which gained some traction," the company said in the report. "But the pay likely wasn’t enough, and after briefly trying bug bounty programs with little success, we believe he pivoted to cybercrime in the first half of 2024."
One of EncryptHub’s earliest ventures in the cybercrime landscape is Fickle Stealer, which was first documented by Fortinet FortiGuard Labs in June 2024 as a Rust-based information stealer malware that’s distributed via multiple channels.
In a recent interview with security researcher g0njxa, the threat actor claimed that Fickle "delivers results on systems where StealC or Rhadamantys (sic) would never work" and that it "passes high-quality corporate antivirus systems." They also stated that the stealer is not only being shared privately, it’s also "integral" to another product of theirs dubbed EncryptRAT.
"We were able to associate Fickle Stealer with an alias previously tied to EncryptHub," Lopez said. "Additionally, one of the domains linked to that campaign matches infrastructure connected to his legitimate freelance work. From our analysis, we estimate EncryptHub’s cybercriminal activity began around March 2024. Fortinet’s reporting in June likely marks the first public documentation of these actions."
EncryptHub is also said to have relied extensively on OpenAI’s ChatGPT to assist with malware development, even going to the extent of using it to aid in translating emails and messages and as a confessional tool.
"EncryptHub’s case highlights how poor operational security remains one of the most critical weaknesses for cybercriminals," Lopez pointed out. "Despite technical sophistication, basic mistakes – like password reuse, exposed infrastructure, and mixing personal with criminal activity – ultimately led to his exposure."
Microsoft, EncryptHub ve 618’den Fazla İhlalin Arka Planındaki Hacker: Windows Açıklarını Açıkladı
Teknoloji dünyası hızla değişmekte; bu değişimlerin merkezinde güvenlik açıkları ve bu açıklarla mücadele eden hackerlar yer almakta. Son günlerde öne çıkan bir gelişme, Microsoft’un EncryptHub adlı hacker grubu ile bağlantılı. Bu grup, 618’den fazla veri ihlalinin arkasındaki isim olarak tanımlanıyor. Peki, bu grubun Windows işletim sistemindeki açıkları açıklaması ne anlama geliyor? Gelin, bu konuyu daha derinlemesine inceleyelim.
Microsoft ve Güvenlik Açıkları
Microsoft, yıllar içinde birçok güvenlik açığı ile karşı karşıya kalmış bir teknoloji devidir. İşletim sistemleri, yazılımlar ve bulut hizmetleri gibi pek çok alanda kullanıcılarına hizmet veren Microsoft, güvenlik açıklarını en az düzeye indirmek için sürekli olarak güncellemeler ve yamalar yayınlamaktadır. Ancak, bu açıkların keşfedilmesi ve sızdırılması, ciddi güvenlik tehditlerine yol açabiliyor.
Windows, dünya genelinde en çok kullanılan işletim sistemlerinden biri olarak, hedef alınma ihtimali en yüksek yazılımlar arasında yer almakta. Bu durum, kullanıcıların verilerinin güvende olmadığını düşündüğü zamanlarda aldıkları riskleri artırıyor.
EncryptHub’ın Yükselişi
EncryptHub, son dönemde kendisini duyuran hacker gruplarından biri. 618’den fazla ihlal gerçekleştirmesiyle dikkat çeken bu grup, belirli bir süre içinde çok sayıda güvenlik açığını açığa çıkardı. Ancak, bu ihlalleri gerçekleştirirken bir etik çerçevesinde çalıştıklarını iddia ediyorlar. Yani, açıklanan güvenlik açıkları, Microsoft’a bildirildiği ve böylece şirketin bu açıkları kapatması için bir fırsat sundukları belirtiliyor.
Hacker gruplarının etik hackerlar olarak adlandırılması, kullanıcı ve şirket verilerinin korunmasına yönelik çok önemli bir rol üstlenmelerine olanak tanıyor. EncryptHub’ın da bu bağlamda çalıştığı iddiaları, özellikle teknoloji dünyasında büyük yankı uyandırdı.
Windows Açıkları ve Etkileri
EncryptHub’ın gün yüzüne çıkardığı Windows güvenlik açıkları, yalnızca Microsoft’un değil, aynı zamanda tüm kullanıcıların güvenliğini tehdit ediyor. Bu tür güvenlik açıkları, kişisel verilerin çalınmasından işletmelere ait gizli bilgilere kadar geniş bir yelpazedeki bilgilerin tehlikeye girmesine neden olabilir.
Yapılan araştırmalar, hackerların bu açıkları kötüye kullanarak nasıl büyük çaplı veri ihlallerine neden olabileceğini gösteriyor. Özellikle kurumsal sistemlerde, bir açığın kapatılmaması, o sistemin tamamen çökmesine ve ciddi mali kayıplara yol açabilir.
Microsoft’un Yanıtı
Microsoft, EncryptHub’ın açıkladığı güvenlik açıklarına karşı duyarlılığını göstererek bu konudaki çalışmalarını artıracaklarını duyurdu. Yapılan açıklamalara göre, genel güvenlik önlemlerinin yanı sıra, bu tür hacker gruplarıyla iş birliği yapıldığında daha etkili bir sonuç alındığı ifade ediliyor. Şirket, kullanıcılarına bu konudaki açıklarını mümkün olan en kısa sürede kapatacaklarına dair güvence veriyor.
Microsoft’un bu duruma yanıtı, teknoloji dünyasındaki birçok kişi ve kurum tarafından olumlu karşılandı. Kullanıcıların güvenliğini sağlamak adına atılan adımlar, uzun vadede teknoloji devinin itibarını korumasına yardımcı olabilir.
Etik Hackerlar ve Cyber Güvenlik
Hackerlar genellikle kötü niyetli insanlar olarak algılansa da, "etik hacker" olarak bilinen bir grup, yazılım ve sistem güvenliğini artırmak amacıyla çalışan profesyonellerdir. Etik hackerlar, güvenlik açıklarını tespit ederek bunları ilgili firmalara bildirir ve açıkların kapatılması için çözümler sunar.
EncryptHub gibi grupların varlığı, etik hackerlık kavramının ne kadar önemli bir yer edindiğini göstermektedir. Bu gruplar, hem kötü niyetli hackerlarla mücadele etmeye yardımcı olmakta hem de şirketlerin güvenlik süreçlerinde daha dikkatli olmalarını sağlamakta.
Sonuç
Microsoft’un EncryptHub ile olan ilişkisi, günümüz dijital dünyasında güvenlik açıklarının ne denli önemli bir konu olduğunu gözler önüne seriyor. Hackerların sadece bilgi çalma niyetiyle değil, aynı zamanda güvenlik önlemleri almak üzere de hareket edebileceği gerçeği, bu konunun ne kadar karmaşık olduğunu anlamamıza yardımcı oluyor. 618’den fazla ihlalin ardındaki bu hacker grubu, belki de teknoloji devlerinin güvenlik politikalarını yeniden gözden geçirmesine neden olacak.
Sonuç olarak, hem kullanıcıların hem de şirketlerin güvenliğini sağlamak adına sürekli bir iş birliği ve eğitim şart. Günlük yaşamımızın vazgeçilmezi haline gelen teknoloji dünyasında, her bireyin bu konu üzerinde düşünmesi ve bilinçlenmesi büyük önem taşımaktadır. Bu bağlamda, EncryptHub’ın ortaya çıkardığı güvenlik açıkları, sadece Microsoft için değil, tüm dijital ekosistem için bir uyarı niteliği taşımaktadır.
