Kemungkinan aktor serigala tunggal di belakang Encrypthub Persona diakui oleh Microsoft karena menemukan dan melaporkan dua kelemahan keamanan di Windows bulan lalu, melukis gambar individu yang “bertentangan” mengangkangi karir yang sah di dunia maya dan mengejar kejahatan dunia maya.
Dalam sebuah analisis ekstensif baru yang diterbitkan oleh Outpost24 Krakenlabs, perusahaan keamanan Swedia ini membuka kedok cyber criminal yang sedang naik daun, yang, sekitar 10 tahun yang lalu, melarikan diri dari kampung halamannya di Kharkov, Ukraina, ke tempat baru di suatu tempat dekat pantai Rumania.
Kerentanan dikreditkan oleh Microsoft ke sebuah pesta bernama “Skorikari dengan Skorikari,” yang telah dinilai sebagai nama pengguna lain yang digunakan oleh Encrypthub. Kelemahan yang dimaksud, keduanya ditetapkan oleh Redmond sebagai bagian dari pembaruan Patch Tuesday bulan lalu, ada di bawah –
- CVE-2025-24061 (Skor CVSS: 7.8)-Microsoft Windows Mark-of-the-Web (MOTW) Fitur Keamanan Kerentanan Bypass
- CVE-2025-24071 (Skor CVSS: 6.5) – Kerentanan Spoofing File Windows Explorer Microsoft Windows
Encrypthub, juga dilacak di bawah moniker Larva-208 dan Water Gamayun, disorot pada pertengahan 20124 sebagai bagian dari kampanye yang memanfaatkan situs Winrar palsu untuk mendistribusikan berbagai jenis malware yang di-host di gudang Github bernama “Enrypthub.”
Dalam beberapa minggu terakhir, aktor ancaman telah dikaitkan dengan eksploitasi nol-hari dari cacat keamanan lain di Microsoft Management Console (CVE-2025-26633, skor CVSS: 7.0, alias MSC Eviltwin) untuk memberikan pencuri informasi dan pintu belakang yang sebelumnya tidak berdokumen bernama SilentPrism dan Darkwisp.
Menurut ProPaft, Encrypthub diperkirakan telah mengkompromikan lebih dari 618 target bernilai tinggi di berbagai industri dalam sembilan bulan terakhir operasinya.
“Semua data yang dianalisis di seluruh investigasi kami menunjukkan tindakan satu individu,” Lidia Lopez, analis intelijen ancaman senior di Outpost24, mengatakan kepada Hacker News.
“Namun, kami tidak dapat mengesampingkan kemungkinan kolaborasi dengan aktor ancaman lainnya. Di salah satu saluran telegram yang digunakan untuk memantau statistik infeksi, ada pengguna telegram lain dengan hak administratif, menunjukkan potensi kerja sama atau bantuan dari orang lain tanpa afiliasi kelompok yang jelas.”
Outpost24 mengatakan bahwa pihaknya dapat menyatukan jejak online Enrypthub dari “infeksi diri aktor karena praktik keamanan operasional yang buruk,” mengungkap aspek-aspek baru dari infrastruktur dan perkakas mereka dalam proses tersebut.
Individu diyakini tidak memiliki profil rendah setelah pindah ke tempat yang tidak ditentukan di dekat Rumania, mempelajari ilmu komputer sendiri dengan mendaftar untuk kursus online, sambil mencari pekerjaan terkait komputer di samping.
Namun, semua aktivitas aktor ancaman, tiba-tiba berhenti pada awal 2022 bertepatan dengan timbulnya Perang Russo-Ukraina. Yang mengatakan, Outpost24 mengatakan telah menemukan bukti untuk menunjukkan bahwa ia dipenjara sekitar waktu yang sama.
“Setelah dirilis, dia melanjutkan pencarian pekerjaannya, kali ini menawarkan layanan pengembangan web dan aplikasi lepas, yang mendapatkan daya tarik,” kata perusahaan itu dalam laporan itu. “Tapi gaji itu kemungkinan tidak cukup, dan setelah secara singkat mencoba program hadiah bug dengan sedikit keberhasilan, kami yakin dia berputar ke kejahatan dunia maya pada paruh pertama tahun 2024.”
Salah satu usaha paling awal Encrypthub di lanskap kejahatan dunia maya adalah Fickle Stealer, yang pertama kali didokumentasikan oleh Fortinet Fortiguard Labs pada Juni 2024 sebagai malware pencuri informasi berbasis karat yang didistribusikan melalui berbagai saluran.
Dalam sebuah wawancara baru-baru ini dengan peneliti keamanan G0NJXA, aktor ancaman mengklaim bahwa Fickle “memberikan hasil pada sistem di mana stealc atau rhadamantys (sic) tidak akan pernah berhasil” dan bahwa “melewati sistem antivirus korporat berkualitas tinggi.” Mereka juga menyatakan bahwa pencuri tidak hanya dibagikan secara pribadi, itu juga “integral” dengan produk lain dari Encryptrat mereka yang dijuluki.
“Kami dapat mengaitkan pencuri yang berubah -ubah dengan alias yang sebelumnya terikat dengan Encrypthub,” kata Lopez. “Selain itu, salah satu domain yang terkait dengan kampanye itu cocok dengan infrastruktur yang terhubung dengan pekerjaan lepas yang sah. Dari analisis kami, kami memperkirakan aktivitas penjahat dunia maya Enripsi Enkripsi sekitar Maret 2024. Pelaporan Fortinet pada bulan Juni kemungkinan menandai dokumentasi publik pertama dari tindakan ini.”
Encrypthub juga dikatakan mengandalkan secara luas pada chatgpt Openai untuk membantu pengembangan malware, bahkan untuk menggunakannya untuk membantu menerjemahkan email dan pesan dan sebagai alat pengakuan.
“Kasus Encrypthub menyoroti bagaimana keamanan operasional yang buruk tetap menjadi salah satu kelemahan paling kritis untuk penjahat cyber,” Lopez menunjukkan. “Terlepas dari kecanggihan teknis, kesalahan dasar – seperti penggunaan kembali kata sandi, infrastruktur yang terbuka, dan mencampur pribadi dengan aktivitas kriminal – pada akhirnya menyebabkan paparannya.”
