A Microsoft reconheceu recentemente a atuação de um hacker conhecido como EncryptHub, que revelou duas vulnerabilidades críticas no Windows. Embora tenha contribuído com a segurança da plataforma, a empresa descreve o indivíduo como alguém com um perfil ambíguo, alternando entre atividades legítimas em cibersegurança e ações criminosas online.
Segundo um relatório da empresa sueca Outpost24 KrakenLabs, o hacker — que teria deixado Kharkov, na Ucrânia, há cerca de uma década e se estabelecido próximo à costa da Romênia — foi identificado após uma investigação detalhada. A Microsoft atribuiu a descoberta das falhas ao usuário “SkorikARI with SkorikARI”, considerado um dos pseudônimos usados por EncryptHub. As vulnerabilidades corrigidas no último Patch Tuesday foram:
- CVE-2025-24061 (CVSS 7.8): falha no recurso Mark-of-the-Web (MotW), permitindo bypass de segurança.
- CVE-2025-24071 (CVSS 6.5): falha de falsificação no Windows File Explorer.
EncryptHub, também conhecido como LARVA-208 e Water Gamayun, ganhou notoriedade em 2024 após criar um site falso do WinRAR para distribuir malwares via um repositório no GitHub chamado “encrypthub”. Recentemente, ele também foi ligado à exploração de uma falha zero-day no Microsoft Management Console (CVE-2025-26633, também chamada “MSC EvilTwin”), com o objetivo de instalar ladrões de dados e backdoors como SilentPrism e DarkWisp.
De acordo com a PRODAFT, EncryptHub invadiu mais de 600 alvos de alto perfil em diferentes setores em menos de um ano. “As evidências que analisamos indicam que todas essas ações foram realizadas por um único indivíduo”, disse Lidia Lopez, analista sênior da Outpost24.
A investigação da Outpost24 revelou que o hacker cometeu vários deslizes de segurança, como autoinfecções e uso de senhas repetidas, o que possibilitou rastrear sua identidade e infraestrutura. Após se mudar para a Romênia, ele se dedicou a estudar ciência da computação por conta própria e buscou empregos na área de tecnologia. Contudo, toda sua atividade cessou no início de 2022, possivelmente em decorrência da guerra entre Rússia e Ucrânia, período em que há indícios de que ele foi detido. Depois de ser libertado, voltou a atuar online oferecendo serviços como freelancer em desenvolvimento de sites e apps.
Um dos primeiros malwares desenvolvidos por EncryptHub foi o Fickle Stealer, criado em Rust e documentado pela Fortinet em 2024. Ele afirmou, em conversa com o pesquisador g0njxa, que o Fickle Stealer consegue operar em sistemas onde malwares como StealC e Rhadamantys falham, inclusive superando antivírus corporativos avançados. Esse malware também está integrado a outra ferramenta criada por ele, chamada EncryptRAT.
Outro ponto destacado na investigação é o uso frequente do ChatGPT da OpenAI pelo hacker, tanto para criar e refinar códigos maliciosos quanto para traduzir mensagens ou registrar confissões pessoais. “Mesmo com toda a expertise técnica, falhas básicas de segurança operacional — como a reutilização de credenciais e a mistura de vida pessoal com ações ilegais — acabaram revelando sua identidade”, concluiu Lopez.
