Microsoft поблагодарила хакера EncryptHub за выявление уязвимостей Windows

В центре нового расследования Microsoft оказалась противоречивая фигура, которую американская корпорация связывает с недавним обнаружением двух уязвимостей в системе Windows. Как подчёркивается в материалах шведской компании Outpost24 KrakenLabs, речь идёт о человеке, известном в цифровом подполье под именем EncryptHub. Ранее он оказался замешан в многочисленных кибератаках, число которых, по оценкам специалистов, превышает 618.

По информации из опубликованного аналитического отчёта, этот человек, возможно, начинал свою деятельность ещё десять лет назад, после того как покинул родной Харьков и обосновался где-то в районе румынского побережья. Там он начал активно работать в сфере кибербезопасности, совмещая участие в легальных проектах с противоправными действиями в цифровом пространстве.

Компания Microsoft связала две недавние уязвимости в своих продуктах с пользователем, скрывающимся под ником «SkorikARI with SkorikARI». Как уточняется в отчёте, этот псевдоним является ещё одним именем EncryptHub. Обе уязвимости были устранены в рамках ежемесячного обновления Patch Tuesday. Первая, CVE-2025-24061 с оценкой 7,8 по шкале CVSS, касалась обхода защиты функции Mark-of-the-Web в Windows. Вторая, CVE-2025-24071, оценённая в 6,5, затрагивала механизм работы файлового проводника.

Хакер EncryptHub, также фигурирующий в сети под именами LARVA-208 и Water Gamayun, оказался в центре внимания в 2024 году. Тогда он использовал поддельный сайт WinRAR, с которого распространял вредоносное программное обеспечение. Исходный код и вредоносные компоненты хранились в публичном репозитории на GitHub, который сам хакер назвал «encrypthub».

Ситуация обострилась в последние недели, когда ему приписали ещё одно вмешательство — в этот раз с использованием уязвимости CVE-2025-26633 (оценка 7,0 по CVSS), получившей неофициальное название MSC EvilTwin. Эта брешь в консоли управления Microsoft дала возможность загружать вредоносное ПО, предназначенное для кражи конфиденциальной информации, а также незадокументированные бэкдоры SilentPrism и DarkWisp.

По информации, предоставленной компанией PRODAFT, только за последние девять месяцев EncryptHub якобы получил доступ к более чем 618 системам в самых разных секторах. Речь идёт не только о частных компаниях, но и об организациях с особыми требованиями к защите данных.

Старший аналитик Outpost24 по киберугрозам Лидия Лопес в комментарии для The Hacker News заявила, что все материалы, собранные в ходе анализа, указывают на действия одного человека. Она подчеркнула, что перед специалистами предстала весьма нестандартная фигура — одиночка, способный одновременно действовать как исследователь уязвимостей и киберпреступник.