EncryptHub, een beruchte dreigingsactor die in verband wordt gebracht met inbreuken bij 618 organisaties, rapporteerde mogelijk twee Windows zero-day kwetsbaarheden aan Microsoft. Dit lijkt op een dubbelrol bij een organisatie die zich beweegt tussen cybercriminaliteit en beveiligingsonderzoek.
De gerapporteerde kwetsbaarheden zijn CVE-2025-24061 (Mark of the Web omzeiling) en CVE-2025-24071 (File Explorer spoofing). Microsoft loste de problemen op tijdens de Patch Tuesday-updates van maart 2025. Als melder van de kwetsbaarheden vermeldde men SkorikARI. Een nieuw rapport van onderzoekers van Outpost24 koppelt nu EncryptHub aan deze SkorikARI. Dit gebeurde nadat de dreigingsactor zichzelf naar verluidt had geïnfecteerd en eigen inloggegevens had blootgesteld.
Deze blootstelling stelde de onderzoekers in staat om de dreigingsactor te koppelen aan verschillende online accounts. En om het profiel bloot te stellen van een persoon die zich tussen een cybersecurityonderzoeker en een cybercrimineel beweegt.
Een van de blootgestelde accounts is SkorikARI, dat de hacker gebruikte om de twee genoemde zero-day kwetsbaarheden aan Microsoft bekend te maken, wat bijdroeg aan de Windows-beveiliging.
Meerdere bewijsbronnen
Hector Garcia, beveiligingsanalist bij Outpost24, vertelde aan BleepingComputer dat de link tussen SkorikARI en EncryptHub gebaseerd is op meerdere stukjes bewijs, die samen een hoog-confidentiebeoordeling vormen.
Het zwaarste bewijs kwam volgens Garcia van het feit dat de wachtwoordbestanden die EncryptHub uit zijn eigen systeem had geëxfiltreerd, accounts bevatten die zowel aan EncryptHub waren gekoppeld als aan SkorikARI. Daarnaast was er ook een inlog op hxxps://github[.]com/SkorikJR, dat werd genoemd in het Fortinet-artikel van juli over Fickle Stealer. Een derde bevestiging van de link tussen de twee waren de gesprekken met ChatGPT, waarin zowel activiteiten die betrekking hadden op EncryptHub als SkorikARI te zien waren.
EncryptHubs betrokkenheid bij zero-days is niet nieuw. De dreigingsactor, of een van de leden, probeerde zero-days te verkopen aan andere cybercriminelen op hackforums. Outpost24 dook dieper in EncryptHubs reis en stelde dat de hacker herhaaldelijk wisselt tussen freelance ontwikkelingswerk en cybercriminele activiteiten.
Hacker zelf slachtoffer van slechte beveiliging
Ondanks zijn ogenschijnlijke IT-expertise, werd de hacker naar verluidt slachtoffer van slechte beveiligingspraktijken, waardoor zijn persoonlijke informatie werd blootgesteld. Dit omvat het gebruik van ChatGPT door de hacker voor het ontwikkelen van malware en phishing-websites, het integreren van code van derden en het onderzoeken van kwetsbaarheden.
De dreigingsactor had ook een diepere, persoonlijke betrokkenheid met OpenAI’s LLM-chatbot, waarin hij in één geval zijn prestaties beschreef en de AI vroeg om hem te categoriseren als een coole hacker of kwaadwillige onderzoeker.
Op basis van de verstrekte input beoordeelde ChatGPT hem als 40% black hat, 30% grey hat, 20% white hat en 10% onzeker, wat een moreel en praktisch conflicterend individu weerspiegelt.
Ditzelfde conflict werd weerspiegeld in zijn toekomstige planning op ChatGPT, waar de hacker om hulp vroeg bij het organiseren van een massale, maar onschadelijke campagne die tienduizenden computers zou beïnvloeden voor publiciteit.