Двойная жизнь цифрового гения: днем спасал Windows, ночью взламывал корпорации
NewsMakerИстория EncryptHub, который покорил 600 компаний, но прокололся на беседах c ChatGPT.
Шведские специалисты по компьютерной безопасности раскрыли необычную историю хакера , который балансирует между легальной карьерой и киберпреступлениями. В прошлом месяце он получил официальную благодарность от Microsoft за обнаружение двух серьезных уязвимостей в Windows, но, как выяснили эксперты Outpost24 KrakenLabs , параллельно занимался созданием вредоносных программ.
Найденные бреши в защите оказались действительно опасными. Первая уязвимость ( CVE-2025-24061 ) позволяла обойти важный механизм безопасности Mark-of-the-Web, получив высокую оценку опасности – 7.8 баллов по шкале CVSS. Вторая ( CVE-2025-24071 ) с рейтингом 6.5 открывала возможность для атак через подмену интерфейса в проводнике Windows. В базе данных Microsoft автор находок зарегистрирован под именем "SkorikARI with SkorikARI", но больше в сети он известен как EncryptHub.
Десять лет назад он покинул родной Харьков и обосновался на побережье Румынии. Там будущий хакер самостоятельно изучал компьютерные науки через онлайн- курсы и пытался найти работу в IT-сфере. После нескольких неудачных попыток заработать на программах bug bounty он переключился на создание вредоносного программного обеспечения.
Его первой серьезной разработкой стал Fickle Stealer – написанный на языке Rust инфостилер, который обнаружила лаборатория Fortinet FortiGuard в июне 2024 года. В недавнем интервью исследователю g0njxa автор с гордостью рассказал о своем детище: программа успешно обходит корпоративные системы защиты и работает даже там, где другие инструменты вроде StealC или Rhadamantys оказываются бессильны. Этот вредоносный код распространяется среди избранных клиентов и встроен в новую разработку автора – EncryptRAT.
Масштаб атак впечатляет: по данным компании PRODAFT, за девять месяцев активности злоумышленник взломал более 618 важных целей в различных отраслях. Лопес отмечает:
История EncryptHub показывает, что даже технически подкованные киберпреступники часто допускают элементарные ошибки . Многократное использование паролей, незащищенная инфраструктура, смешение личной и преступной деятельности – все это в итоге привело к его разоблачению. Что будет дальше - узнаем.
Шведские специалисты по компьютерной безопасности раскрыли необычную историю хакера , который балансирует между легальной карьерой и киберпреступлениями. В прошлом месяце он получил официальную благодарность от Microsoft за обнаружение двух серьезных уязвимостей в Windows, но, как выяснили эксперты Outpost24 KrakenLabs , параллельно занимался созданием вредоносных программ.
Найденные бреши в защите оказались действительно опасными. Первая уязвимость ( CVE-2025-24061 ) позволяла обойти важный механизм безопасности Mark-of-the-Web, получив высокую оценку опасности – 7.8 баллов по шкале CVSS. Вторая ( CVE-2025-24071 ) с рейтингом 6.5 открывала возможность для атак через подмену интерфейса в проводнике Windows. В базе данных Microsoft автор находок зарегистрирован под именем "SkorikARI with SkorikARI", но больше в сети он известен как EncryptHub.
Десять лет назад он покинул родной Харьков и обосновался на побережье Румынии. Там будущий хакер самостоятельно изучал компьютерные науки через онлайн- курсы и пытался найти работу в IT-сфере. После нескольких неудачных попыток заработать на программах bug bounty он переключился на создание вредоносного программного обеспечения.
Его первой серьезной разработкой стал Fickle Stealer – написанный на языке Rust инфостилер, который обнаружила лаборатория Fortinet FortiGuard в июне 2024 года. В недавнем интервью исследователю g0njxa автор с гордостью рассказал о своем детище: программа успешно обходит корпоративные системы защиты и работает даже там, где другие инструменты вроде StealC или Rhadamantys оказываются бессильны. Этот вредоносный код распространяется среди избранных клиентов и встроен в новую разработку автора – EncryptRAT.
Нам удалось связать Fickle Stealer с одним из прежних псевдонимов EncryptHub, – поясняет Лидия Лопес, ведущий аналитик Outpost24. – Более того, один из доменов той вредоносной кампании совпадает с инфраструктурой, которую он использовал для легальной работы на фрилансе. По нашим оценкам, его преступная деятельность началась примерно в марте 2024 года. Отчет Fortinet в июне стал первым публичным упоминанием об этих действиях.К середине 2024 года хакер запустил еще одну масштабную кампанию. Он создал поддельный сайт популярного архиватора WinRAR для распространения вредоносных программ через репозиторий на GitHub. В последние недели исследователи обнаружили, что он эксплуатирует новую уязвимость нулевого дня в Microsoft Management Console (CVE-2025-26633). Через эту брешь с уровнем опасности 7.0, получившую название MSC EvilTwin, он внедряет инфостилеры и ранее неизвестные бэкдоры SilentPrism и DarkWisp.
Масштаб атак впечатляет: по данным компании PRODAFT, за девять месяцев активности злоумышленник взломал более 618 важных целей в различных отраслях. Лопес отмечает:
Все указывает на то, что действует один человек. Однако мы не исключаем возможного сотрудничества с другими хакерами. В одном из Telegram-каналов, где отслеживалась статистика заражений, обнаружился еще один пользователь с правами администратора.Отследить цифровой след помогли собственные ошибки EncryptHub. Он допускал случайные самозаражения из-за неосторожности, что позволило исследователям раскрыть новые детали его инфраструктуры и инструментов. В работе злоумышленник активно использовал ChatGPT – нейросеть помогала ему не только с написанием кода, но и с переводом писем и сообщений. Более того, он вел с искусственным интеллектом откровенные беседы, словно на исповеди делясь деталями своей деятельности.
История EncryptHub показывает, что даже технически подкованные киберпреступники часто допускают элементарные ошибки . Многократное использование паролей, незащищенная инфраструктура, смешение личной и преступной деятельности – все это в итоге привело к его разоблачению. Что будет дальше - узнаем.