یک بازیگر احتمالی تنها در پشت شخصیت EncryptHub توسط مایکروسافت به دلیل کشف و گزارش دو نقص امنیتی در ویندوز در ماه گذشته مورد تائید قرار گرفت و تصویری از یک فرد “متعارض” را ترسیم کرد که در یک حرفه قانونی در امنیت سایبری و تعقیب جرائم سایبری دستوپنجه نرم میکرد.
در یک تحلیل گسترده جدید[۱] منتشرشده توسط Outpost24 KrakenLabs، این شرکت امنیتی سوئدی این مجرم سایبری در حال ظهور را که حدود ۱۰ سال پیش، از زادگاه خود در خارکف، اوکراین، به مکانی جدید در نزدیکی سواحل رومانی گریخت را معرفی کرده است.
این آسیبپذیریها توسط مایکروسافت به گروهی به نام «SkorikARI with SkorikARI» اعتبار داده شد، که ارزیابی شده است که نام کاربری دیگری است که توسط EncryptHub استفاده میشود. این نقصهای موردبحث، که هر دو توسط مایکروسافت بهعنوان بخشی از بهروزرسانیهای سهشنبهها[۲] در ماه گذشته برطرف شدهاند، در زیر آورده شدهاند:
- CVE-2025-24061 (امتیاز ۷٫۸ در CVSS) – آسیبپذیری دور زدن ویژگی امنیتیMicrosoft Windows Mark-of-the-Web (MotW)[3]
- CVE-2025-24071 (امتیاز ۶٫۵ در CVSS) – آسیبپذیری جعل فایل اکسپلورر Microsoft Windows[4]
EncryptHub که با نامهای LARVA-208 و Water Gamayun نیز ردیابی میشود، در اواسط سال ۲۰۲۴ بهعنوان بخشی از کمپینی که از یک سایت جعلی WinRAR برای توزیع انواع بدافزار میزبانیشده در مخزن GitHub به نام “encrypthub” استفاده میکرد، موردتوجه قرار گرفت[۵].
در هفتههای اخیر، این عامل تهدید به بهرهبرداری روز صفر[۶] از یک نقص امنیتی دیگر در کنسول مدیریت مایکروسافت (CVE-2025-26633، امتیاز ۷٫۰ در CVSS، با نام مستعار MSC EvilTwin) برای ارائه دزدان اطلاعات و دربهای پشتی بدون سند قبلی به نامهای SilentPrism و DarkWi نسبت داده شده است[۷].
به گفته PRODAFT، تخمین زده میشود که EncryptHub در ۹ ماه گذشته فعالیت خود، بیش از ۶۱۸ هدف با ارزش بالا را در صنایع مختلف به خطر انداخته است.
لیدیا لوپز، تحلیلگر ارشد اطلاعات تهدید در Outpost24، به هکر نیوز گفت: «تمام دادههای تجزیهوتحلیل شده در طول تحقیقات ما به اقدامات یک فرد اشاره دارد.»
بااینحال، ما نمیتوانیم احتمال همکاری با دیگر عوامل تهدید را رد کنیم. در یکی از کانالهای تلگرامی که برای نظارت بر آمار آلودگی استفاده میشود، کاربر تلگرام دیگری با امتیازات مدیریتی وجود داشت که پیشنهاد همکاری یا کمک احتمالی از سوی دیگران بدون وابستگی گروهی مشخص را میداد.
Outpost24 گفت که توانسته است ردپای آنلاین EncryptHub را از “خودآلودگی بازیگران به دلیل شیوههای امنیتی ضعیف عملیاتی” جمع کند و جنبههای جدیدی از زیرساخت و ابزار آنها را در این فرآیند کشف کند.
اعتقاد بر این است که این فرد برای عدم شناسایی پس از نقلمکان به مکانی نامشخص در نزدیکی رومانی، تحصیل در رشته علوم کامپیوتر بهتنهایی و با ثبتنام در دورههای آنلاین، به دنبال مشاغل مرتبط با کامپیوتر بوده است.
بااینحال، تمام فعالیتهای این بازیگر تهدید بهطور ناگهانی در اوایل سال ۲۰۲۲ همزمان با شروع جنگ روسیه و اوکراین[۸] متوقف شد. گفته میشود، Outpost24 گفت که شواهدی پیدا کرده است که نشان میدهد او در همان زمان زندانی شده است.
این شرکت در این گزارش میگوید: «پس از آزادی، او جستجوی شغلی خود را از سر گرفت و این بار خدمات توسعه وب و اپلیکیشنهای آزاد را ارائه کرد که موردتوجه قرار گرفت. اما احتمالاً این دستمزد کافی نبود و پس از مدت کوتاهی برنامههای پاداش باگ با موفقیت کم، ما معتقدیم که او در نیمه اول سال ۲۰۲۴ به جرائم سایبری پرداخت.»
یکی از اولین سرمایهگذاریهای EncryptHub در زمینه جرائم سایبری، Fickle Stealer است[۹] که برای اولین بار توسط Fortinet FortiGuard Labs در ژوئن ۲۰۲۴ بهعنوان یک بدافزار دزد اطلاعات مبتنی بر Rust که از طریق کانالهای متعدد توزیع میشود، ثبت شد.
در مصاحبه اخیر[۱۰] با محقق امنیتی g0njxa، این عامل تهدید ادعا کرد که Fickle نتایج را در دستگاههایی ارائه میدهد که StealC یا Rhadamantys (sic) هرگز کار نمیکنند و از دستگاههای آنتیویروس شرکتی باکیفیت بالا عبور میکند. آنها همچنین اظهار داشتند که این سارق نهتنها بهصورت خصوصی به اشتراک گذاشته میشود، بلکه integral محصول دیگری از آنها به نام EncryptRAT است.
لوپز گفت: «ما توانستیم Fickle Stealer را با نام مستعاری که قبلاً به EncryptHub مرتبط بود مرتبط کنیم. علاوه بر این، یکی از دامنههای مرتبط با آن کمپین با زیرساختهای مرتبط با کار آزاد قانونی او مطابقت دارد. از تحلیل ما، تخمین میزنیم که فعالیت مجرمانه سایبری EncryptHub از مارس ۲۰۲۴ آغاز شده است. گزارش فورتی نت در ژوئن احتمالاً اولین سند عمومی این اقدامات را نشان میدهد.»
همچنین گفته میشود که EncryptHub بهطور گسترده به ChatGPT OpenAI برای کمک به توسعه بدافزار اعتماد کرده است، حتی تا حدی از آن برای کمک به ترجمه ایمیلها و پیامها و بهعنوان ابزاری برای اعتراف استفاده میکند.
لوپز خاطرنشان کرد: پرونده EncryptHub نشان میدهد که امنیت عملیاتی ضعیف همچنان یکی از مهمترین نقاط ضعف برای مجرمان سایبری است. با وجود پیچیدگیهای فنی، اشتباهات اساسی – مانند استفاده مجدد از رمز عبور، زیرساختهای افشاشده و اختلاط شخصی با فعالیتهای مجرمانه – درنهایت منجر به افشای او شد.
منابع
[۱] https://outpost24.com/blog/unmasking-encrypthub-chatgpt-partner-crime
[۲] https://thehackernews.com/2025/03/urgent-microsoft-patches-57-security.html
[۳] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24061
[۴] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071
[۵] https://thehackernews.com/2025/03/encrypthub-deploys-ransomware-and.html
[۶] https://thehackernews.com/2025/03/encrypthub-exploits-windows-zero-day-to.html
[۷] https://thehackernews.com/2025/03/russian-hackers-exploit-cve-2025-26633.html
[۸] https://thehackernews.com/2022/02/new-wiper-malware-targeting-ukraine.html
[۹] https://thehackernews.com/2024/06/new-rust-based-fickle-malware-uses.html
[۱۰] https://www.man7.org/linux/man-pages/man3/popen.3.html
[۱۱] https://g0njxa.medium.com/approaching-stealers-devs-a-brief-interview-with-encrypthub-fickle-stealer-518bde3b174f
ثبت ديدگاه