Un probable actor de lobo solitario detrás del Encrypthub Microsoft reconoció a Persona por descubrir e informar dos defectos de seguridad en Windows el mes pasado, pintando una imagen de un individuo «conflictivo» a horcajadas en una carrera legítima en ciberseguridad y persiguiendo el delito cibernético.
En un nuevo análisis extenso publicado por Outpost24 Krakenlabs, la compañía de seguridad sueca desenmascaró el prometedor ciberdelincuente, quien, hace unos 10 años, huyó de su ciudad natal en Kharkov, Ucrania, a un nuevo lugar en algún lugar cerca de la costa rumana.
Microsoft acreditó las vulnerabilidades a una fiesta llamada «Skorikari con Skorikari», que se ha evaluado como otro nombre de usuario utilizado por CiCrypThub. Los defectos en cuestión, los cuales fueron fijados por Redmond como parte de su actualización del martes de parche el mes pasado, están a continuación,
- CVE-2025-24061 (Puntuación CVSS: 7.8)-Vulnerabilidad de la característica de seguridad de Microsoft Windows Windows (MOTW)
- CVE-2025-24071 (Puntuación CVSS: 6.5) – Vulnerabilidad de falsificación de Microsoft Windows Explorer
CiCrypThub, también rastreado bajo los apodos Larva-208 y Water Gamayun, fue destacado a mediados de 2014 como parte de una campaña que aprovechó un sitio falso de Winrar para distribuir varios tipos de malware alojados en un repositorio de GitHub llamado «CiCrypThub».
En las últimas semanas, el actor de amenazas se ha atribuido a la explotación del día cero de otro defecto de seguridad en la consola de administración de Microsoft (CVE-2025-26633, CVSS Score: 7.0, también conocido como MSC Eviltwin) para entregar robadores de información y los puestos de respaldo previamente sin documentos llamados SilentPrism y Darkwisp.
Según ProDaft, se estima que CiCryPTHUB ha comprometido más de 618 objetivos de alto valor en múltiples industrias en los últimos nueve meses de su operación.
«Todos los datos analizados a lo largo de nuestra investigación apuntan a las acciones de un solo individuo», dijo Lidia López, analista senior de inteligencia de amenazas de Outpost24, a The Hacker News.
«Sin embargo, no podemos descartar la posibilidad de colaboración con otros actores de amenazas. En uno de los canales de telegrama utilizados para monitorear las estadísticas de infección, había otro usuario de Telegram con privilegios administrativos, lo que sugiere una cooperación o asistencia potencial de otros sin una afiliación grupal clara».
OUTPOST24 dijo que pudo reconstruir la huella en línea de CiCrypThub de la «autoinfección del actor debido a las malas prácticas de seguridad operativa», descubriendo nuevos aspectos de su infraestructura y herramientas en el proceso.
Se cree que el individuo mantuvo un perfil bajo después de mudarse a un lugar no especificado cerca de Rumania, estudiando informática por su cuenta al inscribirse para cursos en línea, mientras busca trabajos relacionados con la computadora.
Sin embargo, toda la actividad del actor de amenaza cesó abruptamente a principios de 2022 coincidiendo con el inicio de la guerra ruso-ucraniana. Dicho esto, Outpost24 dijo que ha encontrado evidencia que sugiere que fue encarcelado al mismo tiempo.
«Una vez publicado, reanudó su búsqueda de empleo, esta vez ofreciendo servicios de desarrollo web y de aplicaciones independientes, que ganaron algo de tracción», dijo la compañía en el informe. «Pero el salario probablemente no fue suficiente, y después de probar brevemente los programas de recompensa de errores con poco éxito, creemos que giró al delito cibernético en la primera mitad de 2024».
Una de las primeras empresas de CiCrypThub en el paisaje del delito cibernético es el robo de volumen, que fue documentado por primera vez por Fortinet Fortiguard Labs en junio de 2024 como un malware de robador de información basado en el óxido que se distribuye a través de múltiples canales.
En una entrevista reciente con el investigador de seguridad G0NJXA, el actor de amenazas afirmó que voluble «ofrece resultados en sistemas donde STEALC o Rhadamantys (sic) nunca funcionarían» y que «pasa los sistemas de antivirus corporativos de alta calidad». También declararon que el robador no solo se comparte en privado, sino que también es «integral» de otro producto de suyo denominado encryptrat.
«Pudimos asociarnos con un alias previamente atado a CiCrypThub», dijo López. «Además, uno de los dominios vinculados a esa campaña coincide con la infraestructura relacionada con su trabajo independiente legítimo. A partir de nuestro análisis, estimamos que la actividad cibercriminal de CiCrrypThub comenzó alrededor de marzo de 2024. Los informes de Fortinet en junio probablemente marca la primera documentación pública de estas acciones».
También se dice que CiCryPTHUB se basó ampliamente en el chatgpt de OpenAi para ayudar con el desarrollo de malware, incluso con el alcance de usarlo para ayudar a traducir correos electrónicos y mensajes y como una herramienta confesional.
«El caso de CiCrypThub destaca cómo la mala seguridad operativa sigue siendo una de las debilidades más críticas para los ciberdelincuentes», señaló López. «A pesar de la sofisticación técnica, los errores básicos, como la reutilización de contraseñas, la infraestructura expuesta y la mezcla de actividad personal con la actividad criminal, lo llevaron a su exposición».