El hacker es responsable de más de 618 brechas de seguridad
Microsoft reconoció a un probable actor solitario detrás de la identidad de EncryptHub por descubrir e informar dos fallas de seguridad en Windows el mes pasado, pintando una imagen de un individuo "en conflicto" que se mueve entre una carrera legítima en ciberseguridad y la dedicación al ciberdelito.
En un nuevo y extenso análisis publicado por Outpost24 KrakenLabs, la compañía de seguridad sueca desenmascaró al prometedor cibercriminal que, hace unos 10 años, huyó de su ciudad natal en Járkov, Ucrania, a un nuevo lugar en algún lugar cerca de la costa rumana.
Microsoft atribuyó las vulnerabilidades a un tercero llamado "SkorikARI con SkorikARI", que se ha determinado que es otro nombre de usuario utilizado por EncryptHub. Las fallas en cuestión, ambas corregidas por Redmond como parte de su actualización del martes de parches del mes pasado, se detallan a continuación:
• CVE-2025-24061 (puntuación CVSS: 7,8): Vulnerabilidad de omisión de la función de seguridad Mark-of-the-Web (MotW) de Microsoft Windows.
• CVE-2025-24071 (puntuación CVSS: 6,5): Vulnerabilidad de suplantación de identidad del Explorador de archivos de Microsoft Windows.
EncryptHub, también rastreado bajo los apodos LARVA-208 y Water Gamayun, fue destacado a mediados de 2024 como parte de una campaña que aprovechó un sitio falso de WinRAR para distribuir varios tipos de malware alojado en un repositorio de GitHub llamado "encrypthub".
En las últimas semanas, se ha atribuido al actor de amenazas la explotación de día cero de otra falla de seguridad en Microsoft Management Console (CVE-2025-26633, puntuación CVSS: 7.0, también conocida como MSC EvilTwin) para distribuir ladrones de información y puertas traseras previamente no documentadas llamadas SilentPrism y DarkWisp.
Según PRODAFT, se estima que EncryptHub ha comprometido más de 618 objetivos de alto valor en múltiples industrias en los últimos nueve meses de su funcionamiento.
"Todos los datos analizados a lo largo de nuestra investigación apuntan a las acciones de un solo individuo", dijo Lidia López, analista senior de inteligencia de amenazas en Outpost24.
"Sin embargo, no podemos descartar la posibilidad de colaboración con otros actores de amenazas. En uno de los canales de Telegram utilizados para monitorear las estadísticas de infección, había otro usuario de Telegram con privilegios administrativos, lo que sugiere una posible cooperación o asistencia de otros sin una afiliación clara a un grupo".
Outpost24 afirmó que pudo reconstruir la huella en línea de EncryptHub a partir de las "autoinfecciones del actor debido a malas prácticas de seguridad operativa", descubriendo en el proceso nuevos aspectos de su infraestructura y herramientas.
Se cree que el individuo mantuvo un perfil bajo después de mudarse a un lugar no especificado cerca de Rumania, estudiando informática por su cuenta inscribiéndose en cursos en línea, mientras buscaba trabajos relacionados con la informática como actividad paralela.
Sin embargo, toda la actividad del actor de amenazas cesó abruptamente a principios de 2022, coincidiendo con el inicio de la guerra ruso-ucraniana. Sin embargo, Outpost24 afirmó haber encontrado evidencia que sugiere que fue encarcelado aproximadamente al mismo tiempo.
"Una vez liberado, reanudó su búsqueda de empleo, esta vez ofreciendo servicios independientes de desarrollo web y de aplicaciones, lo que cobró cierto impulso", afirmó la compañía en el informe. "Pero el pago probablemente no fue suficiente, y tras probar brevemente programas de recompensas por errores con poco éxito, creemos que se dedicó a la ciberdelincuencia en el primer semestre de 2024".
Una de las primeras incursiones de EncryptHub en el panorama del ciberdelito es Fickle Stealer, que fue documentado por primera vez por Fortinet FortiGuard Labs en junio de 2024 como un malware ladrón de información basado en Rust que se distribuye a través de múltiples canales.
En una entrevista reciente con el investigador de seguridad g0njxa, el actor de amenazas afirmó que Fickle "ofrece resultados en sistemas donde StealC o Rhadamantys (sic) nunca funcionarían" y que "supera los sistemas antivirus corporativos de alta calidad". También afirmaron que el ladrón no sólo se comparte de forma privada, sino que también es "integral" a otro producto suyo llamado EncryptRAT.
"Pudimos asociar a Fickle Stealer con un alias previamente vinculado a EncryptHub", dijo López. "Además, uno de los dominios vinculados a esa campaña coincide con la infraestructura conectada a su trabajo freelance legítimo. Según nuestro análisis, estimamos que la actividad cibercriminal de EncryptHub comenzó alrededor de marzo de 2024. El informe de Fortinet en junio probablemente marca la primera documentación pública de estas acciones".
También se dice que EncryptHub ha recurrido en gran medida a ChatGPT de OpenAI para ayudar con el desarrollo de malware, llegando incluso al extremo de usarlo para ayudar a traducir correos electrónicos y mensajes y como herramienta confesional.
"El caso de EncryptHub pone de relieve cómo la deficiente seguridad operativa sigue siendo una de las debilidades más críticas para los ciberdelincuentes", señaló López. "A pesar de la sofisticación técnica, errores básicos, como la reutilización de contraseñas, la exposición de infraestructura y la combinación de actividades personales con actividades delictivas, finalmente llevaron a su exposición".
