Украинский хакер взламывал корпорации, прикрываясь поиском «дыр» в Windows. Его сдал ChatGPT
Хакер из Украины EncryptHub годами «косил» под ИБ-специалиста, выявлявшего уязвимости в софте иностранных корпораций, в том числе в Windows. Он честно выполнял эту работу, но она была лишь прикрытием для взлома и атак. Его злодеяния случайности раскрыла нейросеть ChatGPT – она писала для него вредоносный код и вела с ним диалог на тему его тайных проделок.
Днем супергерой, ночью мошенник
Хакер, скрывающийся под псевдонимом EncryptHub, на протяжении нескольких лет атаковал различные корпорации, но они при этом души в нем не чаяли. Как пишет профильный портал The Hacker News со ссылкой на выявившего хакера ИБ-компанию Outpost24, EncryptHub играл роль ИБ-специалиста, ищущего уязвимости в программных продуктах и уведомляющего о них разработчиков.
С этой задачей он справлялся блестяще – например, он помог Microsoft выявить несколько крупных «дыр» в Windows. Благодаря ему были закрыты, в частности, бреши CVE-2025-24061 и CVE-2025-24071, имеющие, 7,8 и 6,5 балла соответственно из 10 возможных по шкале критичности.
Как пишет The Hacker News, EncryptHub – это уроженец Украины. Он родился в Харькове, но в 2015 г. покинул родной город и перебрался Румынию, где принялся постигать компьютерные тонкости посредством онлайн-курсов. Параллельно EncryptHub. Также известный под псевдонимами LARVA-208 и Water Gamayun, тщетно искал работу в ИТ-сфере и в итоге стал участвовать в программах по поиску уязвимостей в качестве «белого хакера».
Все делать тихо
The Hacker News пишет, что украинский хакер не старался не привлекать к себе внимания после отъезда из Украины. Однако вся деятельность этого злоумышленника резко прекратилась в начале 2022 г. что может быть не связано с не менее резко изменившейся в тот же период мировой геополитикой. Эксперты Outpost24 заявили, что нашли доказательства, позволяющие предположить, что EncryptHub был заключен в тюрьму примерно в то же время.
«После освобождения он возобновил поиск работы, на этот раз предлагая услуги по разработке веб-сайтов и приложений на фрилансе, что набрало обороты, – говорится в отчете компании Outpost24. – Но оплата, вероятно, оказалась недостаточной, и после непродолжительных попыток участия в программах вознаграждения за обнаружение уязвимостей, которые не увенчались успехом, мы считаем, что в первой половине 2024 г. он переключился на киберпреступность».
В числе первых проектов EncryptHub как состоявшегося хакера был Fickle Stealer – инфостилер, написанный на языке Rust. CNews писал, что его очень любят киберпреступники, особенно вирусописатели.
В недавнем интервью исследователю под псевдонимом g0njxa создатель Fickle Stealer с нескрываемой гордостью хвастался: что его детище успешно обходит корпоративные системы защиты и работает даже там, где другие похожие инструменты, например, StealC или Rhadamantys бессильны.
«Мы оцениваем, что киберпреступная деятельность EncryptHub началась примерно в марте 2024 г.», – сказала The Hacker News Лидия Лопес (Lidia Lopez), старший аналитик по анализу угроз в ИБ-компании Outpost24.
Талант раскрылся
В середине 2024 г. EncryptHub развернул новый хакерский проект. Была создана копия официального сайта популярного в России и мире архиватора WinRAR, выполнявшая всего одну функцию – она распространяла вредоносный софт посредством репозитория на GitHub.
В последние недели злоумышленнику приписывают эксплуатацию уязвимости нулевого дня еще одной уязвимости безопасности в консоли управления Microsoft (CVE-2025-26633, оценка CVSS: 7.0, также известной как MSC EvilTwin) для доставки вредоносных программ для кражи информации и ранее не документированных бэкдоров под названием SilentPrism и DarkWisp.
За последние девять месяцев своей работы EncryptHub предположительно скомпрометировал более 618 ценных целей в различных отраслях, пишет The Hacker News. «Все данные, проанализированные в ходе нашего расследования, указывают на действия одного человека, – сказала The Hacker News Лидия Лопес. – Однако мы не можем исключить возможность сотрудничества с другими субъектами угроз. В одном из каналов Telegram, используемых для мониторинга статистики заражений, был еще один пользователь с правами администратора, что предполагает потенциальное сотрудничество или помощь со стороны других лиц без четкой групповой принадлежности».
Искусственному интеллекту верить нельзя
В отчете Outpost24 говорится, что эксперты компании смогли отследить цифровой след EncryptHub благодаря ошибкам, которые он совершал в последние годы. В частности одним из любимых инструментов хакера была нейросеть ChatGPT, которую он использовал, в числе прочего, в качестве помощника для написания вредоносного кода.
Также EncryptHub использовал этот сервис для перевода писем и сообщений. В Outpost24 отмечают, что это был его просчет, как и то, что он активно общался с ChatGPT, делясь подробностями о своей подпольной деятельности.
В отчете также сказано, что EncryptHub неоднократно использовал собственное вредоносное ПО против самого себя. По неосторожности он допускал случайные самозаражения. При этом Outpost24 не раскрывает, как именно ей удалось добраться до логов диалога хакера с нейросетью. Однако в нем приводятся цитаты из него.