據悉，臭名昭著的威脅分子EncryptHub向微軟報告了兩個Windows零日漏洞，揭示了介于網絡犯罪和安全研究之間的矛盾人物。

報告的漏洞是CVE-2025-24061 （Web繞過標記）和CVE-2025-24071（文件瀏覽器欺騙），微軟在2025年3月的補丁星期二更新中解決了這些漏洞，并承認報告者為“SkorikARI與SkorikARI”。

錯誤報道

Outpost24研究人員的一份新報告現已將EncryptHub威脅者與SkorikARI聯系起來，據稱該威脅者感染了自己并暴露了他們的憑證。

這種暴露使研究人員能夠將威脅者與各種在線賬戶聯系起來，并暴露出在網絡安全研究人員和網絡罪犯之間搖擺不定的人的個人資料。

其中一個被曝光的賬戶是SkorikARI，黑客利用這個賬戶向微軟披露了上述兩個零日漏洞，從而提高了Windows的安全性。

Outpost24的安全分析師Hector Garcia表示，SkorikARI與EncryptHub的聯系是基于多個證據，構成了一個高可信度的評估。最確鑿的證據是，EncryptHub從自己的系統中竊取的密碼文件中，既有與EncryptHub相關的賬戶，比如仍在開發中的EncryptRAT的憑據，也有他在xss上的賬戶。

對SkorikARI來說，這就像訪問自由職業網站或他自己的Gmail賬戶。

此外，另一個證實兩者之間聯系的重要證據是與ChatGPT的對話，可以觀察到與EncryptHub和SkorikARI相關的活動。

EncryptHub對零日攻擊并不新鮮，威脅者或其中一名成員試圖在黑客論壇上向其他網絡罪犯出售零日攻擊。

EncryptHub試圖在地下論壇上出售零日漏洞

Outpost24深入研究了EncryptHub的經歷，指出這名黑客反復在自由開發工作和網絡犯罪活動之間轉換。

盡管他有明顯的IT專業知識，但據報道，這名黑客成為了opsec實踐的受害者，導致他的個人信息被曝光。

這包括黑客使用ChatGPT來開發惡意軟件和網絡釣魚網站，集成第三方代碼，以及研究漏洞。

這位威脅者還與OpenAI的LLM聊天機器人進行了更深入的個人接觸，在一個案例中，他描述了自己的成就，并要求人工智能將他歸類為酷黑客或惡意研究人員。

根據提供的輸入，ChatGPT將他評估為40%黑帽，30%灰帽，20%白帽和10%不確定。

同樣的沖突也反映在他未來對ChatGPT的計劃中，黑客要求聊天機器人幫助組織一場大規模但“無害”的活動，影響數萬臺計算機進行宣傳。

公開ChatGPT討論

EncryptHub是什么

EncryptHub是一個威脅分子，與RansomHub和BlackSuit等勒索軟件團伙有一定聯系。

然而，最近，威脅者通過各種社會工程活動、網絡釣魚攻擊和創建基于powershell的自定義信息竊取器“善變竊取者”而出名。

威脅者還以進行社會工程活動而聞名，他們為虛構的應用程序創建社交媒體配置文件和網站。

在一個例子中，研究人員發現，威脅者為一個名為GartoriSpace的項目管理應用程序創建了一個X帳戶和網站。

假冒GartoriSpace網站

該網站通過社交媒體平臺上的私人信息進行推廣，這些信息將提供下載該軟件所需的代碼。當下載軟件時，Windows設備會收到一個安裝了善變竊取軟件的PPKG文件[VirusTotal]，而Mac設備會收到一個AMOS信息竊取軟件[VirusTotal]。

EncryptHub還與利用微軟管理控制臺漏洞CVE-2025-26633的Windows零日攻擊有關。該漏洞在3月份被修復。總的來說，威脅者的活動似乎是為他們工作的，據報告稱，威脅者已經破壞了600多個組織。

參考及來源：https://www.bleepingcomputer.com/news/security/encrypthubs-dual-life-cybercriminal-vs-windows-bug-bounty-researcher/