Двойная жизнь цифрового гения: днем спасал Windows, ночью взламывал корпорации

Шведские специалисты по компьютерной безопасности раскрыли необычную историю хакера , который балансирует между легальной карьерой и киберпреступлениями. В прошлом месяце он получил официальную благодарность от Microsoft за обнаружение двух серьезных уязвимостей в Windows, но, как выяснили эксперты Outpost24 KrakenLabs , параллельно занимался созданием вредоносных программ.

Найденные бреши в защите оказались действительно опасными. Первая уязвимость ( CVE-2025-24061 ) позволяла обойти важный механизм безопасности Mark-of-the-Web, получив высокую оценку опасности – 7.8 баллов по шкале CVSS. Вторая ( CVE-2025-24071 ) с рейтингом 6.5 открывала возможность для атак через подмену интерфейса в проводнике Windows. В базе данных Microsoft автор находок зарегистрирован под именем "SkorikARI with SkorikARI", но больше в сети он известен как EncryptHub.

Десять лет назад он покинул родной Харьков и обосновался на побережье Румынии. Там будущий хакер самостоятельно изучал компьютерные науки через онлайн- курсы и пытался найти работу в IT-сфере. После нескольких неудачных попыток заработать на программах bug bounty он переключился на создание вредоносного программного обеспечения.

Его первой серьезной разработкой стал Fickle Stealer – написанный на языке Rust инфостилер, который обнаружила лаборатория Fortinet FortiGuard в июне 2024 года. В недавнем интервью исследователю g0njxa автор с гордостью рассказал о своем детище: программа успешно обходит корпоративные системы защиты и работает даже там, где другие инструменты вроде StealC или Rhadamantys оказываются бессильны. Этот вредоносный код распространяется среди избранных клиентов и встроен в новую разработку автора – EncryptRAT.

Нам удалось связать Fickle Stealer с одним из прежних псевдонимов EncryptHub, – поясняет Лидия Лопес, ведущий аналитик Outpost24. – Более того, один из доменов той вредоносной кампании совпадает с инфраструктурой, которую он использовал для легальной работы на фрилансе. По нашим оценкам, его преступная деятельность началась примерно в марте 2024 года. Отчет Fortinet в июне стал первым публичным упоминанием об этих действиях.

К середине 2024 года хакер запустил еще одну масштабную кампанию. Он создал поддельный сайт популярного архиватора WinRAR для распространения вредоносных программ через репозиторий на GitHub. В последние недели исследователи обнаружили, что он эксплуатирует новую уязвимость нулевого дня в Microsoft Management Console (CVE-2025-26633). Через эту брешь с уровнем опасности 7.0, получившую название MSC EvilTwin, он внедряет инфостилеры и ранее неизвестные бэкдоры SilentPrism и DarkWisp.

Масштаб атак впечатляет: по данным компании PRODAFT, за девять месяцев активности злоумышленник взломал более 618 важных целей в различных отраслях. Лопес отмечает:

Все указывает на то, что действует один человек. Однако мы не исключаем возможного сотрудничества с другими хакерами. В одном из Telegram-каналов, где отслеживалась статистика заражений, обнаружился еще один пользователь с правами администратора.

Отследить цифровой след помогли собственные ошибки EncryptHub. Он допускал случайные самозаражения из-за неосторожности, что позволило исследователям раскрыть новые детали его инфраструктуры и инструментов. В работе злоумышленник активно использовал ChatGPT – нейросеть помогала ему не только с написанием кода, но и с переводом писем и сообщений. Более того, он вел с искусственным интеллектом откровенные беседы, словно на исповеди делясь деталями своей деятельности.

История EncryptHub показывает, что даже технически подкованные киберпреступники часто допускают элементарные ошибки . Многократное использование паролей, незащищенная инфраструктура, смешение личной и преступной деятельности – все это в итоге привело к его разоблачению. Что будет дальше - узнаем.