Un probable actor de lobo solitario detrás del Encrypthub Microsoft reconoció a Persona por descubrir e informar dos defectos de seguridad en Windows el mes pasado, pintando una imagen de un individuo «conflictivo» a horcajadas en una carrera legítima en ciberseguridad y persiguiendo el delito cibernético.
En un nuevo exploración extenso publicado por Outpost24 Krakenlabs, la compañía de seguridad sueca desenmascaró el prometedor ciberdelincuente, quien, hace unos 10 abriles, huyó de su ciudad oriundo en Kharkov, Ucrania, a un nuevo división en algún división cerca de la costa rumana.
Microsoft acreditó las vulnerabilidades a una fiesta indicación «Skorikari con Skorikari», que se ha evaluado como otro nombre de becario utilizado por CiCrypThub. Los defectos en cuestión, los cuales fueron fijados por Redmond como parte de su modernización del martes de parche el mes pasado, están a continuación,
- CVE-2025-24061 (Puntuación CVSS: 7.8)-Vulnerabilidad de la característica de seguridad de Microsoft Windows Windows (MOTW)
- CVE-2025-24071 (Puntuación CVSS: 6.5) – Vulnerabilidad de falsificación de Microsoft Windows Explorer
CiCrypThub, todavía rastreado bajo los apodos Oruga-208 y Water Gamayun, fue destacado a mediados de 2014 como parte de una campaña que aprovechó un sitio traidor de Winrar para distribuir varios tipos de malware alojados en un repositorio de GitHub llamado «CiCrypThub».
En las últimas semanas, el actor de amenazas se ha atribuido a la explotación del día cero de otro defecto de seguridad en la consola de suministro de Microsoft (CVE-2025-26633, CVSS Score: 7.0, todavía conocido como MSC Eviltwin) para entregar robadores de información y los puestos de respaldo previamente sin documentos llamados SilentPrism y Darkwisp.
Según ProDaft, se estima que CiCryPTHUB ha comprometido más de 618 objetivos de detención valencia en múltiples industrias en los últimos nueve meses de su operación.
«Todos los datos analizados a lo prolongado de nuestra investigación apuntan a las acciones de un solo individuo», dijo Capea López, analista senior de inteligencia de amenazas de Outpost24, a The Hacker News.
«Sin bloqueo, no podemos descartar la posibilidad de colaboración con otros actores de amenazas. En uno de los canales de telegrama utilizados para monitorear las estadísticas de infección, había otro becario de Telegram con privilegios administrativos, lo que sugiere una cooperación o cooperación potencial de otros sin una afiliación grupal clara».
OUTPOST24 dijo que pudo reparar la huella en serie de CiCrypThub de la «autoinfección del actor oportuno a las malas prácticas de seguridad operativa», descubriendo nuevos aspectos de su infraestructura y herramientas en el proceso.
Se cree que el individuo mantuvo un perfil bajo a posteriori de mudarse a un división no especificado cerca de Rumania, estudiando informática por su cuenta al inscribirse para cursos en serie, mientras investigación trabajos relacionados con la computadora.
Sin bloqueo, toda la actividad del actor de amenaza cesó abruptamente a principios de 2022 coincidiendo con el inicio de la guerrilla ruso-ucraniana. Dicho esto, Outpost24 dijo que ha antitético evidencia que sugiere que fue encarcelado al mismo tiempo.
«Una vez publicado, reanudó su búsqueda de empleo, esta vez ofreciendo servicios de mejora web y de aplicaciones independientes, que ganaron poco de tracción», dijo la compañía en el referencia. «Pero el salario probablemente no fue suficiente, y a posteriori de probar brevemente los programas de galardón de errores con poco éxito, creemos que giró al delito cibernético en la primera parte de 2024».
Una de las primeras empresas de CiCrypThub en el paisaje del delito cibernético es el robo de prominencia, que fue documentado por primera vez por Fortinet Fortiguard Labs en junio de 2024 como un malware de robador de información basado en el óxido que se distribuye a través de múltiples canales.
En una entrevista fresco con el investigador de seguridad G0NJXA, el actor de amenazas afirmó que voluble «ofrece resultados en sistemas donde STEALC o Rhadamantys (sic) nunca funcionarían» y que «pasa los sistemas de antivirus corporativos de suscripción calidad». Asimismo declararon que el robador no solo se comparte en privado, sino que todavía es «integral» de otro producto de suyo denominado encryptrat.
«Pudimos asociarnos con un seudónimo previamente enlazado a CiCrypThub», dijo López. «Encima, uno de los dominios vinculados a esa campaña coincide con la infraestructura relacionada con su trabajo independiente probado. A partir de nuestro exploración, estimamos que la actividad cibercriminal de CiCrrypThub comenzó más o menos de marzo de 2024. Los informes de Fortinet en junio probablemente marca la primera documentación pública de estas acciones».
Asimismo se dice que CiCryPTHUB se basó ampliamente en el chatgpt de OpenAi para ayudar con el mejora de malware, incluso con el trascendencia de usarlo para ayudar a traducir correos electrónicos y mensajes y como una aparejo civil.
«El caso de CiCrypThub destaca cómo la mala seguridad operativa sigue siendo una de las debilidades más críticas para los ciberdelincuentes», señaló López. «A pesar de la sofisticación técnica, los errores básicos, como la reutilización de contraseñas, la infraestructura expuesta y la mezcla de actividad personal con la actividad criminal, lo llevaron a su exposición».
