Un probabile attore lupo solitario dietro il Criptubub Persona è stato riconosciuto da Microsoft per aver scoperto e segnalato due difetti di sicurezza in Home windows il mese scorso, dipingendo un’immagine di un individuo “in conflitto” a cavallo di una legittima carriera nella sicurezza informatica e alla ricerca del crimine informatico.
In un nuovo vasta analisi Pubblicato da Outpost24 Krakenlabs, la società di sicurezza svedese smascherava il cybercriminale emergente, che, circa 10 anni fa, fuggì dalla sua città natale a Kharkov, in Ucraina, in un nuovo posto da qualche parte vicino alla costa rumena.
Le vulnerabilità sono state attribuite da Microsoft a una festa chiamata “Skorikari con Skorikari”, che è stato valutato come un altro nome utente usato da Cricryptub. I difetti in questione, entrambi fissati da Redmond come parte del suo Aggiornamento del martedì patch Il mese scorso sono sotto –
- CVE-2025-24061 (Punteggio CVSS: 7.8)-Microsoft Home windows Mark-of-the-Internet (MOTW) Funzione di sicurezza Bypass Vulnerabilità
- CVE-2025-24071 (Punteggio CVSS: 6.5) – Vulnerabilità di spoofing Explorer di Microsoft Home windows Explorer
Criptubub, anche monitorato sotto i moniker Larva-208 e Water Gamayun, period messo in luce A metà del 2024 come parte di una campagna che ha sfruttato un sito fasulle di Winrar per distribuire vari tipi di malware ospitato su un repository GitHub chiamato “Crypthub”.
Nelle ultime settimane, l’attore delle minacce è stato attribuito a Sfruttamento zero-day di un altro difetto di sicurezza nella console di gestione di Microsoft (CVE-2025-26633, punteggio CVSS: 7.0, alias MSC EVILTWIN) per fornire furti di informazioni e backdoors precedentemente non documentati chiamati Sileceprism e Darkwisp.
Secondo Prodoft, si stima che Criptubub abbia compromesso oltre 618 obiettivi di alto valore in più settori negli ultimi nove mesi di funzionamento.
“Tutti i dati analizzati durante le nostre indagini indicano le azioni di un singolo individuo”, ha detto a Hacker Information Lidia Lopez, analista di intelligence per le minacce senior di Outpost24.
“Tuttavia, non possiamo escludere la possibilità di collaborazione con altri attori delle minacce. In uno dei canali di telegramma utilizzati per monitorare le statistiche sulle infezioni, c’period un altro utente di Telegram con privilegi amministrativi, suggerendo una potenziale cooperazione o assistenza da parte di altri senza una chiara affiliazione di gruppo.”
Outpost24 ha affermato di essere in grado di mettere insieme l’impronta on-line di CricryptHub dall’auto-infezioni dell’attore a causa delle cattive pratiche di sicurezza operativa “, scoprendo nuovi aspetti della loro infrastruttura e strumenti nel processo.
Si ritiene che l’individuo abbia mantenuto un profilo basso dopo essersi trasferito in un luogo non specificato vicino alla Romania, studiando informatica da soli iscrivendosi ai corsi on-line, mentre cercavano lavori relativi al laptop sul lato.
Tutta l’attività dell’attore della minaccia, tuttavia, cessata bruscamente all’inizio del 2022 in coincidenza con il inizio della guerra russo-ucraina. Detto questo, Outpost24 ha dichiarato di aver trovato show che suggeriscono che è stato incarcerato nello stesso periodo.
“Una volta rilasciato, ha ripreso la sua ricerca di lavoro, questa volta offrendo servizi di sviluppo Internet e app freelance, che hanno guadagnato una certa trazione”, ha affermato la società nel rapporto. “Ma la retribuzione probabilmente non period abbastanza, e dopo aver provato brevemente i programmi di bounti di bug con scarso successo, crediamo che abbia ruotato al crimine informatico nella prima metà del 2024.”
Una delle prime iniziative di criptHub nel panorama del crimine informatico è Respuglio volubileche è stato documentato per la prima volta da Fortinet FortiGuard Labs nel giugno 2024 come malware di furto di informazioni a base di ruggine che è distribuita tramite più canali.
In a recente intervista Con il ricercatore della sicurezza G0NJXA, l’attore delle minacce ha affermato che Fickle “offre risultati sui sistemi in cui Stealc o Rhadamanty (sic) non funzionerebbero mai” e che “passa sistemi antivirus aziendali di alta qualità”. Hanno anche affermato che il furto non è solo condiviso privatamente, ma è anche “integrale” per un altro prodotto del loro criptrato soprannominato.
“Siamo stati in grado di associare il furto di furto con un alias precedentemente legato a cripthob”, ha detto Lopez. “Inoltre, uno dei domini legati a quella campagna corrisponde all’infrastruttura collegata al suo legittimo lavoro freelance. Dalla nostra analisi, stimiamo che l’attività criminale informatica di Cricryptub è iniziata intorno a marzo 2024. Il reporting di Fortinet a giugno segna probabilmente la prima documentazione pubblica di queste azioni.”
Si cube anche che Crypthub abbia fatto ampiamente affidamento su CHATGPT di Openai per aiutare con lo sviluppo del malware, anche andando nella misura in cui lo usa per aiutare a tradurre e -mail e messaggi e come strumento confessionale.
“Il caso di CryptHub evidenzia come la scarsa sicurezza operativa rimanga uno dei punti deboli più critici per i criminali informatici”, ha sottolineato Lopez. “Nonostante la raffinatezza tecnica, gli errori di base – come il riutilizzo della password, le infrastrutture esposte e la miscelazione personale con l’attività criminale – alla advantageous hanno portato alla sua esposizione.”
