微软在安全公告上感谢勒索软件组织EncryptHub

黑客 EncryptHub：在微软漏洞猎人与网络罪犯间的双面人生

人物画像：从乌克兰青年到矛盾黑客

微软近期将漏洞的发现归功于一个名为“SkorikARI with SkorikARI”的实体，经评估确认这是 EncryptHub 使用的另一个用户名。

一位代号 EncryptHub 的神秘黑客近期引发关注。他既因发现微软系统漏洞获得官方致谢，又被指控参与大规模网络犯罪活动。安全公司 Outpost24 通过追踪其十年网络足迹，揭开了这位"双面人"的真实面纱：

• 早年经历约十年前离开乌克兰哈尔科夫，定居罗马尼亚沿海地区。通过在线课程自学计算机技术，曾尝试维修工、客服、初级程序员等职业。2022 年俄乌战争期间活动突然中断，证据显示可能因相关事件入狱。

• 职业转型出狱后从事自由网页开发，但因收入不足转向网络犯罪。2024 年 3 月起，以 Water Gamayun 等别名活跃于暗网，通过伪造 WinRAR 网站传播恶意软件，9 个月内攻击全球 618 个高价值目标。

• 矛盾身份2024 年 6 月，以另一化名 SkorikARI 向微软提交两个高危漏洞（CVE-2025-24061 和 CVE-2025-24071），成为官方致谢的白帽研究员。安全专家评价其"游走于漏洞赏金与犯罪软件开发之间"。

攻击手法：从漏洞利用到 AI 驱动的犯罪工厂

EncryptHub 的犯罪活动呈现高度技术化特征：

1. 漏洞武器化除已披露的两个 Windows 漏洞外，近期被曝利用微软管理控制台漏洞（CVE-2025-26633）进行零日攻击，传播 SilentPrism 后门程序。其开发的 Fickle Stealer 窃密软件可绕过企业级杀毒软件。

2. 恶意软件全家桶

• EncryptRAT：远程控制工具
• DarkWisp：新型信息窃取程序
• 剪贴板劫持器：针对加密货币交易
• 通过自建 GitHub 仓库"encrypthub"托管恶意代码

3. AI 深度参与解密聊天记录显示，EncryptHub 重度依赖 ChatGPT：

• 编写 80% 的恶意代码（包括 Rust 语言开发）
• 设计钓鱼网站、配置 Tor 匿名服务
• 生成俄语论坛营销话术
• 甚至进行"职业规划咨询"，自述"用手机 RDP 完成所有攻击"

致命失误：顶级技术 vs 幼儿园级安防

尽管技术高超，EncryptHub 因基础安全疏漏暴露行踪：

心理博弈：黑白之间的挣扎之路

与 ChatGPT 的私密对话揭示其复杂心理：

1. 职业认同危机"我们更适合当白帽还是黑帽？"——向 AI 坦白开发后门程序、绕过安全机制等行为，得到评估：40% 黑帽倾向，30% 灰帽。

2. 转型野心计划通过"无害攻击秀"建立网络安全公司品牌，企图将犯罪经历包装成技术实力证明。

3. 公开挑衅用 AI 生成檄文攻击安全厂商："Outpost24 的报告充满错误，我们的工具能让现有窃密软件失效！"

安全启示：天才黑客的翻车教训

EncryptHub 案例带来三重警示：

1. 个人防护基础安全措施（密码管理、设备隔离）仍是防御第一线

2. 企业防御及时更新补丁（特别是 CVE-2025 系列漏洞），警惕钓鱼网站伪造技术

3. AI 监管大模型正成为新型犯罪工具，需建立代码生成内容的风险评估机制

微软已修复相关漏洞，但安全专家预警：该黑客掌握至少 3 个未公开漏洞，可能发起更大规模攻击。这场白帽与黑帽的身份拉锯战，仍在持续。

附录：关键漏洞信息

• CVE-2025-24061：Windows MotW 安全绕过漏洞（高危）
• CVE-2025-24071：文件资源管理器欺骗漏洞（中危）
• CVE-2025-26633：微软管理控制台漏洞（已用于零日攻击）

https://outpost24.com/blog/unmasking-encrypthub-chatgpt-partner-crime/