据悉臭名昭著的威胁行为者EncryptHub向微软报告了两个Windows零日漏洞这揭示了网络犯罪与安全研究之间复杂而矛盾的人物形象。这两个漏洞分别是CVE-2025-24061Web标记绕过Mark-of-the-Web安全功能绕过和CVE-2025-24071文件浏览器欺骗File Explorer spoofing。微软已在2025年3月的补丁星期二Patch Tuesday更新中修复了它们并将报告者署名为“SkorikARI with SkorikARI”。Microsoft has released its April security updates. This included: • 165 vulnerabilities patched. • 1 vulnerability with evidence of exploitation. • 8 Critical rated. Users should apply the patch updates ASAP Microsoft Patch Tuesday 更新示意图类似补丁发布视觉Outpost24报告揭露双重身份Outpost24研究人员最新报告将EncryptHub与SkorikARI明确关联起来。该威胁者据称因自身感染并暴露凭证导致研究人员能够追踪其在线账户勾勒出一个在网络安全研究人员与网络罪犯之间摇摆不定的个人画像。其中一个关键暴露账户正是SkorikARI黑客用它向微软披露了上述两个零日漏洞从而间接提升了Windows系统的安全性。Outpost24安全分析师Hector Garcia表示这一关联基于多重证据具有高可信度。最有力的证明来自EncryptHub从自身系统中窃取的密码文件其中不仅包含与EncryptHub相关的账户如仍在开发的EncryptRAT凭据还包括他在地下论坛XSS上的账户以及个人自由职业网站或Gmail账户。此外与ChatGPT的对话记录也成为重要佐证其中同时出现了与EncryptHub和SkorikARI相关的活动痕迹。Fickle Stealer Distributed via Multiple Attack Chain | FortiGuard LabsFickle Stealer等恶意软件相关示意图代表EncryptHub的恶意工具开发EncryptHub的地下活动出售零日漏洞EncryptHub对零日漏洞的利用并不陌生。该威胁者或其成员曾在黑客论坛上尝试向其他网络罪犯出售零日攻击。Outpost24报告深入剖析了EncryptHub的经历他反复在自由开发工作与网络犯罪活动之间切换。尽管拥有明显的IT专业知识但他却成为OPSEC操作安全实践失败的受害者导致个人信息大规模曝光。这些暴露包括使用ChatGPT开发恶意软件、网络钓鱼网站、集成第三方代码以及研究漏洞利用。Top 10 Deep Dark Web Forums地下黑客论坛示例如XSS论坛EncryptHub曾在此出售漏洞与ChatGPT的深度互动黑帽 vs 白帽的内心冲突这位威胁者与OpenAI的LLM聊天机器人进行了更深入的个人接触。在一次对话中他描述了自己的“成就”并要求AI将他归类为“酷黑客”还是“恶意研究人员”。根据输入ChatGPT评估结果为40%黑帽、30%灰帽、20%白帽、10%不确定。同样的内心冲突也体现在他对未来的规划上他曾要求ChatGPT帮助组织一场大规模但“无害”的活动影响数万台计算机以达到宣传目的。CWE - CWE-79: Improper Neutralization of Input During Web Page Generation (Cross-site Scripting) (4.19.1)ChatGPT对话与黑客伦理示意图象征AI辅助下的道德冲突EncryptHub是谁其主要攻击手法EncryptHub是一个与RansomHub、BlackSuit等勒索软件团伙有一定关联的威胁行为者。近年来他因以下活动而闻名各种社会工程攻击网络钓鱼活动开发基于PowerShell的自定义信息窃取器——“Fickle Stealer”善变窃取者他还擅长为虚构应用程序创建社交媒体配置文件和网站并通过私人消息推广。一个典型案例是EncryptHub为名为GartoriSpace的项目管理应用程序创建了XTwitter账户和网站。该网站通过社交媒体私信推广提供下载“所需代码”。下载后Windows设备会收到安装Fickle Stealer的.PPKG文件Mac设备则会收到AMOS信息窃取器Unveiling EncryptHub: Analysis of a multi-stage malware campaign假冒GartoriSpace网站及类似钓鱼安装界面示例此外EncryptHub还与利用微软管理控制台MMC漏洞CVE-2025-26633的Windows零日攻击有关。该漏洞同样在2025年3月被修复。总体而言EncryptHub的活动似乎高度个性化。据报告该威胁者已成功破坏超过600个组织。