EncryptHub, un acteur de menace notoire lié aux violations de 618 organisations, aurait signalé deux vulnérabilités Windows zero-day à Microsoft, révélant un chiffre conflictuel à cheval sur la frontière entre la cybercriminalité et la recherche en sécurité.
Les vulnérabilités signalées sont CVE-2025-24061 (Marque du contournement Web) et CVE-2025-24071 (usurpation de l’explorateur de fichiers), que Microsoft a corrigées lors des mises à jour du Patch Tuesday de mars 2025, reconnaissant le journaliste comme » SkorikARI avec SkorikARI.’
Un nouveau rapport des chercheurs d’Outpost24 a maintenant lié l’acteur de la menace EncryptHub à SkorikARI après que l’acteur de la menace se serait infecté et aurait exposé ses informations d’identification.
Cette exposition a permis aux chercheurs de relier l’auteur de la menace à divers comptes en ligne et d’exposer le profil d’une personne qui hésite entre être un chercheur en cybersécurité et un cybercriminel.
L’un des comptes exposés est SkorikARI, que le pirate a utilisé pour divulguer les deux vulnérabilités zero-day mentionnées à Microsoft, contribuant à la sécurité de Windows.
Hector Garcia, analyste en sécurité chez Outpost24, a déclaré à Breachtrace que le lien de SkorikARI avec EncryptHub est basé sur plusieurs éléments de preuve, compensant une évaluation de haute confiance.
« La preuve la plus difficile provenait du fait que les fichiers de mots de passe cryptés exfiltrés de son propre système avaient des comptes liés à la fois à EncryptHub, comme des informations d’identification pour EncryptRAT, qui était encore en développement, ou son compte sur xss.is, et à SkorikARI, comme des accès à des sites indépendants ou à son propre compte Gmail », a expliqué Garcia.
« Il y avait aussi une connexion à hxxps:// github[.] com / SkorikJR, qui a été mentionné dans l’article de Fortinet de juillet sur Vol Inconstant, rassemblant tout cela. »
« Une autre confirmation énorme du lien entre les deux a été les conversations avec ChatGPT, où une activité liée à EncryptHub et à SkorikARI peut être observée. »
L’incursion de EncryptHub dans les jours zéro n’est pas nouvelle, l’acteur de la menace ou l’un des membres tentant de vendre des jours zéro à d’autres cybercriminels sur des forums de piratage.
Outpost24 s’est plongé dans le parcours d’EncryptHub, déclarant que le pirate informatique alternait à plusieurs reprises entre le travail de développement indépendant et l’activité de cybercriminalité.
Malgré son apparente expertise informatique, le pirate informatique aurait été victime de mauvaises pratiques opsec qui ont permis d’exposer ses informations personnelles.
Cela inclut l’utilisation par le pirate de ChatGPT pour développer des sites malveillants et de phishing, intégrer du code tiers et rechercher des vulnérabilités.
L’acteur de la menace avait également un engagement personnel plus profond avec le chatbot LLM d’OpenAI, dans un cas décrivant ses réalisations et demandant à l’IA de le classer comme un hacker cool ou un chercheur malveillant.
Sur la base des entrées fournies, ChatGPT l’a évalué comme 40% chapeau noir, 30% chapeau gris, 20% chapeau blanc et 10% incertain, reflétant un individu moralement et pratiquement en conflit.
Le même conflit se reflète dans sa planification future sur ChatGPT, où le pirate demande l’aide du chatbot pour organiser une campagne massive mais « inoffensive » ayant un impact sur des dizaines de milliers d’ordinateurs à des fins publicitaires.
Qui est Encrypt Hub
EncryptHub est un acteur menaçant qui serait vaguement affilié à des gangs de ransomwares, tels que RansomHub et les opérations BlackSuit.
Cependant, plus récemment, les acteurs de la menace se sont fait un nom avec diverses campagnes d’ingénierie sociale, des attaques de phishing et la création d’un infostealer personnalisé basé sur PowerShell nommé Vol inconstant.
L’auteur de la menace est également connu pour mener des campagnes d’ingénierie sociale dans le cadre desquelles il crée des profils de médias sociaux et des sites Web pour des applications fictives.
Dans un exemple, les chercheurs ont découvert que l’auteur de la menace avait créé un compte X et un site Web pour une application de gestion de projet appelée GartoriSpace.
Ce site a été promu par le biais de messages privés sur les plateformes de médias sociaux qui fourniraient un code requis pour télécharger le logiciel. Lors du téléchargement du logiciel, les appareils Windows recevraient un fichier PPKG [VirusTotal] qui installait un voleur inconstant, et les appareils Mac recevraient le voleur d’informations AMOS [VirusTotal].
EncryptHub a également été lié à des attaques zero-day Windows exploitant une vulnérabilité de la Console de gestion Microsoft répertoriée sous le numéro CVE-2025-26633. La faille a été corrigée en mars, mais a été attribuée à Trend Micro plutôt qu’à l’auteur de la menace.
Dans l’ensemble, les campagnes des acteurs de la menace semblent fonctionner pour eux, car un rapport de Prodaft indique que les acteurs de la menace ont compromis plus de six cents organisations.