Un probable actor de lobo solitario detrás del Encrypthub Microsoft reconoció a Persona por descubrir e informar dos defectos de seguridad en Windows el mes pasado, pintando una imagen de un individuo “conflictivo” a horcajadas en una carrera legítima en ciberseguridad y persiguiendo el delito cibernético.
En un nuevo exploración extenso publicado por Outpost24 Krakenlabs, la compañía de seguridad sueca desenmascaró el prometedor ciberdelincuente, quien, hace unos 10 primaveras, huyó de su ciudad nativo en Kharkov, Ucrania, a un nuevo circunscripción en algún circunscripción cerca de la costa rumana.
Microsoft acreditó las vulnerabilidades a una fiesta llamamiento “Skorikari con Skorikari”, que se ha evaluado como otro nombre de beneficiario utilizado por CiCrypThub. Los defectos en cuestión, los cuales fueron fijados por Redmond como parte de su puesta al día del martes de parche el mes pasado, están a continuación,
- CVE-2025-24061 (Puntuación CVSS: 7.8)-Vulnerabilidad de la característica de seguridad de Microsoft Windows Windows (MOTW)
- CVE-2025-24071 (Puntuación CVSS: 6.5) – Vulnerabilidad de falsificación de Microsoft Windows Explorer
CiCrypThub, incluso rastreado bajo los apodos Oruga-208 y Water Gamayun, fue destacado a mediados de 2014 como parte de una campaña que aprovechó un sitio inexacto de Winrar para distribuir varios tipos de malware alojados en un repositorio de GitHub llamado “CiCrypThub”.
En las últimas semanas, el actor de amenazas se ha atribuido a la explotación del día cero de otro defecto de seguridad en la consola de delegación de Microsoft (CVE-2025-26633, CVSS Score: 7.0, incluso conocido como MSC Eviltwin) para entregar robadores de información y los puestos de respaldo previamente sin documentos llamados SilentPrism y Darkwisp.
Según ProDaft, se estima que CiCryPTHUB ha comprometido más de 618 objetivos de parada valencia en múltiples industrias en los últimos nueve meses de su operación.
“Todos los datos analizados a lo espléndido de nuestra investigación apuntan a las acciones de un solo individuo”, dijo Tienta López, analista senior de inteligencia de amenazas de Outpost24, a The Hacker News.
“Sin incautación, no podemos descartar la posibilidad de colaboración con otros actores de amenazas. En uno de los canales de telegrama utilizados para monitorear las estadísticas de infección, había otro beneficiario de Telegram con privilegios administrativos, lo que sugiere una cooperación o amparo potencial de otros sin una afiliación grupal clara”.
OUTPOST24 dijo que pudo recobrar la huella en término de CiCrypThub de la “autoinfección del actor oportuno a las malas prácticas de seguridad operativa”, descubriendo nuevos aspectos de su infraestructura y herramientas en el proceso.
Se cree que el individuo mantuvo un perfil bajo luego de mudarse a un circunscripción no especificado cerca de Rumania, estudiando informática por su cuenta al inscribirse para cursos en término, mientras escudriñamiento trabajos relacionados con la computadora.
Sin incautación, toda la actividad del actor de amenaza cesó abruptamente a principios de 2022 coincidiendo con el inicio de la extirpación ruso-ucraniana. Dicho esto, Outpost24 dijo que ha antagónico evidencia que sugiere que fue encarcelado al mismo tiempo.
“Una vez publicado, reanudó su búsqueda de empleo, esta vez ofreciendo servicios de ampliación web y de aplicaciones independientes, que ganaron poco de tracción”, dijo la compañía en el mensaje. “Pero el salario probablemente no fue suficiente, y luego de probar brevemente los programas de retribución de errores con poco éxito, creemos que giró al delito cibernético en la primera centro de 2024”.
Una de las primeras empresas de CiCrypThub en el paisaje del delito cibernético es el robo de bulto, que fue documentado por primera vez por Fortinet Fortiguard Labs en junio de 2024 como un malware de robador de información basado en el óxido que se distribuye a través de múltiples canales.
En una entrevista fresco con el investigador de seguridad G0NJXA, el actor de amenazas afirmó que voluble “ofrece resultados en sistemas donde STEALC o Rhadamantys (sic) nunca funcionarían” y que “pasa los sistemas de antivirus corporativos de suscripción calidad”. Incluso declararon que el robador no solo se comparte en privado, sino que incluso es “integral” de otro producto de suyo denominado encryptrat.
“Pudimos asociarnos con un seudónimo previamente ceñido a CiCrypThub”, dijo López. “Adicionalmente, uno de los dominios vinculados a esa campaña coincide con la infraestructura relacionada con su trabajo independiente cierto. A partir de nuestro exploración, estimamos que la actividad cibercriminal de CiCrrypThub comenzó aproximadamente de marzo de 2024. Los informes de Fortinet en junio probablemente marca la primera documentación pública de estas acciones”.
Incluso se dice que CiCryPTHUB se basó ampliamente en el chatgpt de OpenAi para ayudar con el ampliación de malware, incluso con el talento de usarlo para ayudar a traducir correos electrónicos y mensajes y como una utensilio laico.
“El caso de CiCrypThub destaca cómo la mala seguridad operativa sigue siendo una de las debilidades más críticas para los ciberdelincuentes”, señaló López. “A pesar de la sofisticación técnica, los errores básicos, como la reutilización de contraseñas, la infraestructura expuesta y la mezcla de actividad personal con la actividad criminal, lo llevaron a su exposición”.
