Thông tin trong bài viết đề cập đến một kẻ tấn công mạng có tên là EncryptHub, người đã được Microsoft ghi nhận vì đã phát hiện và báo cáo hai lỗ hổng bảo mật trong Windows. Dưới đây là các điểm chính:
Hoạt Động của EncryptHub
- Thông Báo Lỗ Hổng: EncryptHub, còn được biết đến với tên gọi LARVA-208 và Water Gamayun, đã được Microsoft công nhận vì phát hiện và báo cáo hai lỗ hổng bảo mật, bao gồm CVE-2025-24061 (điểm CVSS: 7.8) và CVE-2025-24071 (điểm CVSS: 6.5), đã được Microsoft khắc phục trong bản cập nhật Patch Tuesday tháng trước.
- Hồ Sơ Cybercriminal: Kẻ tấn công dự kiến là một cá nhân độc lập, đã được Outpost24 KrakenLabs xác định. Hắn được cho là đã rời khỏi quê hương tại Kharkov, Ukraine khoảng 10 năm trước và chuyển đến sống gần bờ biển Romania. Mặc dù có sự nghiệp hợp pháp trong lĩnh vực an ninh mạng, nhưng hắn cũng tham gia vào các hành động tội phạm mạng.
- Các Sai Sót về An Ninh Hoạt Động: Những sai sót trong việc bảo mật hoạt động của EncryptHub đã dẫn đến sự lộ diện của hắn. Hắn tái sử dụng mật khẩu, không có xác thực hai yếu tố (2FA) cho hầu hết các tài khoản của mình và đã lưu trữ các mã sao lưu cho tài khoản Gmail của mình trong một tệp .txt bị rò rỉ bởi chính phần mềm độc hại của hắn.
- Sử Dụng AI: EncryptHub đã sử dụng OpenAI’s ChatGPT vào việc phát triển phần mềm độc hại, bao gồm tạo bot Telegram, máy chủ C2, trang web lừa đảo và máy chủ email. Hắn cũng đã sử dụng ChatGPT để dịch email và tin nhắn, cũng như làm công cụ thổ lộ.
Các Chiến Dịch Gần Đây
- Fickle Stealer: Dự án đầu tiên của EncryptHub trong lĩnh vực tội phạm mạng là Fickle Stealer, một phần mềm đánh cắp thông tin dựa trên Rust lần đầu tiên được ghi nhận bởi Fortinet FortiGuard Labs vào tháng 6 năm 2024. Phần mềm này được phân phối qua nhiều kênh và là phần thiết yếu của một sản phẩm khác có tên là EncryptRAT.
- Khai Thác Zero-Day: EncryptHub cũng đã được cho là chịu trách nhiệm về việc khai thác lỗ hổng zero-day trong Microsoft Management Console (CVE-2025-26633, điểm CVSS: 7.0), được sử dụng để phân phối các phần mềm đánh cắp thông tin và các cửa hậu chưa được ghi nhận trước đó mang tên SilentPrism và DarkWisp.
Tác Động và Cuộc Điều Tra
- Mục Tiêu Cao Giá: EncryptHub ước tính đã xâm phạm hơn 618 mục tiêu cao giá trong nhiều ngành công nghiệp trong chín tháng hoạt động vừa qua.
- Thông Tin Điều Tra: Cuộc điều tra của Outpost24 cho thấy hoạt động của EncryptHub đã ngừng đột ngột vào đầu năm 2022, trùng hợp với sự bắt đầu của cuộc chiến Nga-Ukraina. Tuy nhiên, hắn đã tiếp tục tìm kiếm việc làm sau khi được thả khỏi tù và cuối cùng đã chuyển sang tội phạm mạng trong nửa đầu năm 2024.
Phân tích toàn diện này nhấn mạnh sự tinh vi kỹ thuật và các sai sót trong hoạt động của EncryptHub, nhấn mạnh tầm quan trọng của việc thực hành bảo mật hoạt động vững chắc trong việc ngăn chặn sự lộ diện.
