EncryptHub 的双重生活：一面网络犯罪分子，一面 Windows 赏金猎人

微软在2025年3月补丁星期二中修复了这两 0day 漏洞：CVE-2025-24061（MotW 绕过）和 CVE-2025-24071（File Explorer 欺骗），并致谢报送人 “SkorikARI with SkorikARI”。

Outpost24 公司的研究人员发布报告称，EncryptHub 与 SkorikARI 之间存在关联，而这个破绽就在于EncryptHub 感染了恶意软件并泄露了自己的凭据。研究人员抓住这些暴露情况，将他与多个网络账户关联在一起并发现了他在网络安全研究员与网络犯罪分子之间的摇摆不定。

其中一个被泄露的账号就是 SkorikARI，即用于向微软报送两个 Windows 0day 时用的身份。Outpost24 公司的安全分析师 Hector Garcia 表示，SkorikARI 与 EncryptHub 之间的关联确认基于多种证据，评估信心较高。Garcia 解释称，“最硬核的证据来自 EncryptHub 从自己系统中提取的密码文件中含有同时与 EncryptHub 和 SkorikARI 相关联的账号，比如仍在开发阶段的凭据、在xss.is 上的账号与EncryptHub有关，而自由职业网站或自身的 Gmail 账号与 SkorikARI 有关。另外，他还登录到 hxxps:// github[.]com/SkorikJR，而 Fortinet 公司曾在7月份发布关于 Fickle Stealer 的文章。另外一个强有力的证明是与 ChatGPT 之间的对话，其中所涉及的活动和 EncryptHub 和 SkorikARI 均有关系。”

EncryptHub 尝试找到0day漏洞并不稀奇，因为他或者其中一名成员在黑客论坛上层尝试向其他网络犯罪分子售卖 0day 漏洞。安全研究人员分析了 EncryptHub 的经历后认为，这名黑客反复在自由职业开发工作与网络犯罪活动之间横跳。

尽管，他明显具备 IT 方面的专业知识，但据称其不良的运维安全实践导致其个人信息遭暴露。这些实践包括使用 ChatGPT 开发恶意软件和钓鱼网站、集成第三方代码并开展漏洞研究工作。他还与 OpenAI 的 LLM 聊天机器人之间具有更深入的个人层面的连接。有一次，他曾向 ChatGPT 描述了自己的成就并要求将其归类为“很酷的黑客”还是“恶意研究人员”。

ChatGPT 根据他的输入，将其判断为“40%的黑帽子、30%的灰帽子、20%的白帽子以及10%的不确定性”，反映了一个在道德和实践方面互相矛盾的个体。这一矛盾也反映在他在 ChatGPT 上讨论的关于未来的规划。EncryptHub 要求 ChatGPT 协助组织规模庞大但“无害的”影响数万台计算机的活动，对其进行宣传。

EncryptHub是谁？

EncyptHub 是一名威胁人员，被指与多个勒索团伙之间存在松散关联，如 RansomHub 和 BlackSuit 行动等。

然而，他（们）最近通过多种社工活动、钓鱼攻击和创建基于 PowerShell 的信息窃取工具 Fickle Stealer，为人所知。该黑客还开展多项社工活动，为虚构因公创建社交资料和网站。在一个案例中，研究人员发现他还为一个项目管理应用 GartoriSpace 创建了一个 X 账号和网站。黑客在社交媒体平台上通过私信方式推广该网站，提供下载所需编码。下载该软件时，Windows 设备会收到安装 Fickle Stealer 所需的一个 PPKG 文件，而 Mac 设备会收到 AMOS 信息窃取器。

EncryptHub 还被指与利用微软管理控制台漏洞CVE-2025-26633有关。该漏洞在3月修复，但微软致谢了ZDI而非EncryptHub。整体而言，黑客发动的攻击活动是有效的，Prodaft 表示超过600家组织机构受影响。