Een waarschijnlijke eenzame wolf -acteur achter de Code Persona werd door Microsoft erkend voor het ontdekken en rapporteren van twee beveiligingsfouten in Windows vorige maand, het schilderen van een beeld van een “conflicterende” individu die zich uitstrekt over een legitieme carrière in cybersecurity en het nastreven van cybercriminaliteit.
In een nieuwe uitgebreide analyse gepubliceerd door Outpost24 Krakenlabs, ontmaskerde het Zweedse beveiligingsbedrijf de opkomende cybercriminal, die ongeveer 10 jaar geleden zijn geboortestad in Kharkov, Oekraïne ontvluchtte, ergens in de buurt van de Roemeense kust.
De kwetsbaarheden werden door Microsoft gecrediteerd aan een feest genaamd “Skorikari met Skorikari”, die is beoordeeld als een andere gebruikersnaam die door Encryphub wordt gebruikt. De fouten in kwestie, die beide door Redmond zijn vastgesteld als onderdeel van de patch dinsdag update vorige maand, zijn hieronder –
- CVE-2025-24061 (CVSS-score: 7.8)-Microsoft Windows Mark-of-the-WEB (MOTW) Beveiligingsfunctie Bypass Kwetsbaarheid
- CVE-2025-24071 (CVSS -score: 6.5) – Kwetsbaarheid van Microsoft Windows File Explorer Spoofing
Encryphub, ook gevolgd onder de monikers larve-208 en Water Gamayun, werd halverwege 2024 onder de aandacht gebracht als onderdeel van een campagne die gebruik maakte van een nep-winrar-site om verschillende soorten malware te verspreiden georganiseerd op een Github-repository genaamd “Encryphub.”
In de afgelopen weken is de dreigingsacteur toegeschreven aan de zero-day exploitatie van een andere beveiligingsfout in Microsoft Management Console (CVE-2025-26633, CVSS-score: 7.0, aka MSC Eviltwin) om informatie-stealers te leveren en voorheen ongedocumenteerde achterdeuren met de naam SildPrism en Darkwisp.
Volgens PRODAFT wordt naar schatting Encryphub in de afgelopen negen maanden van de werking geschat op meer dan 618 hoogwaardige doelen in meerdere industrieën in meerdere industrieën.
“Alle gegevens die tijdens ons onderzoek zijn geanalyseerd, zijn wijst op de acties van een enkele persoon,” vertelde Lidia Lopez, senior dreigingsinformatie -analist bij Outpost24, aan The Hacker News.
“We kunnen echter niet de mogelijkheid van samenwerking met andere dreigingsactoren uitsluiten. In een van de telegramkanalen die worden gebruikt om infectiestatistieken te controleren, was er een andere telegramgebruiker met administratieve privileges, wat duidt op mogelijke samenwerking of hulp van anderen zonder een duidelijke groepsrelatie.”
OutPost24 zei dat het in staat was om de online voetafdruk van CiRyPthub samen te voegen van de “zelfinfecties van de acteur vanwege slechte operationele beveiligingspraktijken”, die nieuwe aspecten van hun infrastructuur en gereedschap in het proces ontdekten.
Het individu wordt verondersteld een laag profiel te hebben gehouden na verhuizing naar een niet-gespecificeerde plaats in de buurt van Roemenië, het zelf een ander bestudeerde informatica door zich in te schrijven voor online cursussen, terwijl ze op de zijkant computergerelateerde banen zoeken.
Alle activiteiten van de dreigingsacteur stopten echter in het begin van 2022 abrupt samen met het begin van de Russo-Oekraïense oorlog. Dat gezegd hebbende, Outpost24 zei dat het bewijs heeft gevonden om te suggereren dat hij rond dezelfde tijd gevangen werd gezet.
“Eenmaal vrijgegeven, hervatte hij zijn zoektocht naar een baan en bood dit keer freelance web- en app -ontwikkelingsdiensten aan, die enige grip kreeg,” zei het bedrijf in het rapport. “Maar het loon was waarschijnlijk niet genoeg, en na een kort geprobeerde bug -premieprogramma’s met weinig succes, geloven we dat hij in de eerste helft van 2024 tot cybercriminaliteit heeft gedraaid.”
Een van de vroegste ondernemingen van Encryphub in het landschap van Cybercrime is Fickle Stealer, die voor het eerst werd gedocumenteerd door Fortinet Fortiguard Labs in juni 2024 als een op roest gebaseerde informatie-staler-malware die via meerdere kanalen wordt verspreid.
In een recent interview met beveiligingsonderzoeker G0NJXA beweerde de dreigingsacteur dat wispelturige “resultaten levert op systemen waar Stealc of Rhadamantys (SIC) nooit zou werken” en dat het “hoogwaardige bedrijfs antivirussystemen van hoge kwaliteit passeert”. Ze verklaarden ook dat de Stealer niet alleen privé wordt gedeeld, het is ook “integraal” voor een ander product van hen nagesynchroniseerd encryptrat.
“We waren in staat om Fickle Stealer te associëren met een alias die eerder was gebonden aan Encryphub,” zei Lopez. “Bovendien, een van de domeinen die verband houden met die campagne komt overeen met de infrastructuur die is verbonden met zijn legitieme freelance werk. Uit onze analyse schatten we de cybercriminale activiteit van CodePthub rond maart 2024. Fortinet’s rapportage in juni markeert waarschijnlijk de eerste openbare documentatie van deze acties.”
Er wordt ook gezegd dat Encryphub uitgebreid heeft vertrouwd op het chatgpt van Openai om te helpen bij de ontwikkeling van malware, zelfs om het te gebruiken om het te gebruiken om te helpen bij het vertalen van e -mails en berichten en als een confessionele tool.
“De zaak van Encryphub benadrukt hoe slechte operationele beveiliging een van de meest kritische zwakke punten voor cybercriminelen blijft,” merkte Lopez op. “Ondanks technische verfijning, hebben basisfouten – zoals hergebruik van het wachtwoord, blootgestelde infrastructuur en het combineren van persoonlijk met criminele activiteiten – uiteindelijk tot zijn blootstelling geleid.”
