Arkasında olası yalnız bir kurt aktörü Şifreleme Persona, Microsoft tarafından geçen ay Windows’ta iki güvenlik kusurunu keşfettiği ve rapor ettiği ve siber güvenlik alanında meşru bir kariyere sahip olan ve siber suçları sürdüren bir “çelişkili” bir bireyin resmini çizdiği kabul edildi.
Outpost24 Krakenlabs tarafından yayınlanan yeni bir kapsamlı analizde, İsveç güvenlik şirketi, yaklaşık 10 yıl önce, Ukrayna, Kharkov’daki memleketini Romanya kıyılarının yakınında yeni bir yere kaçan gelecek siber suçluları kaldırdı.
Güvenlik açıkları, Microsoft tarafından EncryPthub tarafından kullanılan başka bir kullanıcı adı olduğu değerlendirilen “Skorikari ile Skorikari” adlı bir partiye verildi. Söz konusu kusurlar, her ikisi de Redmond tarafından geçen ay Salı güncellemesinin bir parçası olarak sabitlendi – aşağıda –
- CVE-2025-24061 (CVSS Puanı: 7.8)-Microsoft Windows Mark-of Web (MOTW) Güvenlik Özelliği Bypass Güvenlik Açığı
- CVE-2025-24071 (CVSS Puanı: 6.5) – Microsoft Windows Dosya Gezgini Sahtekarlık Güvenlik Açığı
Larva-208 ve Water Gamayun Monikerleri altında da izlenen EncryPthub, “Encrypthub” adlı bir GitHub deposunda barındırılan çeşitli kötü amaçlı yazılımları dağıtmak için sahte bir Winrar sitesinden yararlanan bir kampanyanın bir parçası olarak 2014 ortasında dikkat çekildi.
Son haftalarda, tehdit oyuncusu, Microsoft Management konsolundaki (CVE-2025-26633, CVSS Puanı: 7.0, aka MSC Eviltwin) Silentprism ve Darkwisp adlı belgelenmemiş backroors sunmak için başka bir güvenlik kusurunun sıfır gün sömürüsüne atfedildi.
Prodaft’a göre, EncryPthub’ın operasyonunun son dokuz ayında birden fazla sektörde 618’den fazla yüksek değerli hedeften ödün verdiği tahmin ediliyor.
Hacker News’e verdiği demeçte, “Araştırmamız boyunca analiz edilen tüm veriler, tek bir bireyin eylemlerine işaret ediyor.” Dedi.
“Bununla birlikte, diğer tehdit aktörleriyle işbirliği olasılığını göz ardı edemeyiz. Enfeksiyon istatistiklerini izlemek için kullanılan telgraf kanallarından birinde, net bir grup ilişkisi olmadan diğerlerinden potansiyel işbirliği veya yardım öneren idari ayrıcalıklara sahip başka bir telgraf kullanıcısı vardı.”
Outpost24, EncryPthub’ın çevrimiçi ayak izini “zayıf operasyonel güvenlik uygulamaları nedeniyle aktörün kendi enfeksiyonlarından” bir araya getirebildiğini, süreçte altyapılarının ve takımlarının yeni yönlerini ortaya çıkardığını söyledi.
Bireyin, Romanya yakınlarındaki belirtilmemiş bir yere taşındıktan sonra, çevrimiçi kurslara kaydolarak bilgisayar bilimlerini kendi başlarına inceleyerek yanda bilgisayarla ilgili işler aradıktan sonra düşük bir profil tuttuğuna inanılıyor.
Bununla birlikte, tehdit oyuncunun tüm faaliyetleri, 2022’nin başlarında Rus-Ukrayna savaşının başlangıcına denk geldi. Bununla birlikte, Outpost24, aynı zamanda hapse atıldığını öne sürecek kanıt bulduğunu söyledi.
Raporda, “Yayınlandıktan sonra, iş aramasına devam etti, bu sefer serbest web ve bir miktar çekiş kazanan uygulama geliştirme hizmetleri sunuyor.” Dedi. “Ancak ücret muhtemelen yeterli değildi ve kısa bir süre önce hata ödül programlarını çok az başarıyla denedikten sonra, 2024’ün ilk yarısında siber suçlara döndüğüne inanıyoruz.”
EncryPthub’ın siber suç manzarasındaki en eski girişimlerinden biri, Haziran 2024’te Fortinet Fortiguard Labs tarafından birden fazla kanal üzerinden dağıtılan pas tabanlı bir bilgi çalma kötü amaçlı yazılımı olarak belgelenen Fickle Stealer.
Güvenlik araştırmacısı G0NJXA ile yakın zamanda yapılan bir röportajda, tehdit oyuncusu Fickle’nin “Stealc veya Rhadamants’ın (sic) asla işe yaramayacağı sistemlerde sonuçlar verdiğini” ve “yüksek kaliteli kurumsal antivirüs sistemlerini geçtiğini” iddia etti. Ayrıca, stealer’ın sadece özel olarak paylaşılmadığını, aynı zamanda Encryptrat olarak adlandırılan başka bir ürün için de “integral” olduğunu belirttiler.
Lopez, “Fickle Stealer’ı daha önce EncryPthub’a bağlı bir takma adla ilişkilendirebildik.” Dedi. “Ayrıca, bu kampanyaya bağlı alanlardan biri, meşru serbest çalışma ile bağlantılı altyapı eşleştiriyor. Analizimizden, EncryPthub’ın siber suç faaliyetinin Mart 2024’te başladığını tahmin ediyoruz. Fortinet’in Haziran ayında raporlaması muhtemelen bu eylemlerin ilk kamu belgelerini işaret ediyor.”
EncryPthub’ın ayrıca, e -postaları ve mesajları çevirmeye ve itiraf aracı olarak çevirmeye yardımcı olmak için kullanma derecesine kadar, kötü amaçlı yazılım geliştirmeye yardımcı olmak için Openai’nin chatgpt’ine yoğun bir şekilde güvendiği söyleniyor.
Lopez, “EncryPthub’ın davası, operasyonel güvenliğin siber suçlular için en kritik zayıflıklardan biri olarak nasıl kaldığını vurguluyor.” “Teknik sofistike olmasına rağmen, temel hatalar – şifre yeniden kullanımı, maruz kalan altyapı ve kişisel suç faaliyeti ile karıştırmak gibi – sonuçta maruz kalmasına yol açtı.”