Microsoft würdigt Hacker für das Aufdecken von Windows-Schwachstellen
Ein mutmaßlicher Einzeltäter hinter dem Alias EncryptHub sorgt für Schlagzeilen: Während er von Microsoft für das Aufdecken zweier Windows-Sicherheitslücken gelobt wird, deutet vieles darauf hin, dass er zugleich in der Welt der Cyberkriminalität aktiv ist. Das Bild eines doppelten Spiels entsteht – zwischen ethischer Sicherheitsforschung und dem Abgleiten ins digitale Dunkel.
In einer neuen, detaillierten Analyse hat die schwedische Sicherheitsfirma Outpost24 KrakenLabs einen aufstrebenden Cyberkriminellen identifiziert, der unter dem Namen EncryptHub agiert. Der Mann soll vor etwa zehn Jahren aus seiner Heimatstadt Charkiw in der Ukraine geflohen und an die rumänische Küste gezogen sein.
Erst vor wenigen Wochen wurde EncryptHub von Microsoft unter dem Namen „SkorikARI with SkorikARI“ offiziell für die Entdeckung zweier Sicherheitslücken in Windows anerkannt. Beide Schwachstellen wurden inzwischen im Rahmen des Patch-Tuesday-Updates behoben:
- CVE-2025-24061 (CVSS 7,8): Sicherheitsumgehung in der Mark-of-the-Web-Funktion (MotW)
- CVE-2025-24071 (CVSS 6,5): Spoofing-Schwachstelle im Windows-Dateiexplorer
Hinter dem Pseudonym EncryptHub verbirgt sich ein Cyberkrimineller, der auch unter den Namen LARVA-208 und Water Gamayun bekannt ist. Bereits Mitte 2024 geriet er ins Visier von Sicherheitsexperten, als über eine gefälschte WinRAR-Website Malware verbreitet wurde – gehostet in einem GitHub-Repository mit dem Namen „encrypthub“.
Einzeltäter mit hohem kriminellem Potenzial
In jüngster Zeit wird EncryptHub auch mit der Ausnutzung einer Zero-Day-Schwachstelle in der Microsoft Management Console (CVE-2025-26633, CVSS 7,0, bekannt als MSC EvilTwin) in Verbindung gebracht. Über diese Lücke wurden hochentwickelte Informationsdiebe sowie zwei bislang unbekannte Hintertüren mit den Namen SilentPrism und DarkWisp eingeschleust.
Nach Einschätzung des Schweizer Sicherheitsunternehmens PRODAFT hat EncryptHub allein in den letzten neun Monaten über 618 besonders wertvolle Ziele aus verschiedensten Branchen kompromittiert – ein deutliches Zeichen für eine extrem aggressive und technisch versierte Vorgehensweise.
„Alle Hinweise aus unserer Untersuchung deuten auf das Handeln einer einzelnen Person hin“, so Lidia Lopez, Senior Threat Intelligence Analyst bei Outpost24. „Allerdings können wir eine Zusammenarbeit mit anderen Akteuren nicht ausschließen. In einem Telegram-Kanal zur Überwachung von Infektionszahlen wurde ein weiterer Nutzer mit Administratorrechten identifiziert – das lässt auf Unterstützung oder Kooperation schließen, allerdings ohne klare Gruppenzugehörigkeit.“
Outpost24 gelang es, die digitale Spur von EncryptHub nachzuvollziehen – unter anderem, weil er sich durch eigene Fehler bei der Absicherung seiner Systeme selbst infizierte. Diese Nachlässigkeiten ermöglichten es den Forschern, Einblick in seine genutzte Infrastruktur und Werkzeuge zu gewinnen. So öffnete sich ein seltener Blick in die Welt eines Cyberkriminellen, der zwischen legalem IT-Know-how und kriminellen Aktivitäten hin- und herpendelt.
Nach seinem Umzug an einen nicht näher genannten Ort in der Nähe der rumänischen Küste zog sich der mutmaßliche Täter hinter dem Alias EncryptHub zunächst weitgehend zurück. Er bildete sich autodidaktisch im Bereich Informatik weiter, belegte Online-Kurse und suchte parallel nach Gelegenheits-Jobs in der IT-Branche.
Doch Anfang 2022 endeten seine digitalen Spuren abrupt – just zu Beginn des Russland-Ukraine-Kriegs. Outpost24 fand Hinweise darauf, dass er zu dieser Zeit inhaftiert wurde.
Krimineller Neustart nach beruflichem Fehlschlag
Nach seiner Freilassung startete er einen neuen Versuch, beruflich Fuß zu fassen – diesmal als freier Web- und App-Entwickler. Erste kleine Aufträge folgten, doch der finanzielle Erfolg blieb offenbar aus. Nach einer kurzen, wenig erfolgreichen Phase im Bug-Bounty-Bereich soll er sich ab der ersten Jahreshälfte 2024 vollständig der Cyberkriminalität zugewandt haben.
Seinen Einstieg markierte die Malware Fickle Stealer, ein auf Rust basierender Informationsdiebstahl-Trojaner, der im Juni 2024 von Fortinet FortiGuard Labs erstmals dokumentiert wurde. Er wurde über verschiedene Kanäle verbreitet und soll – wie der Täter selbst im Rahmen eines kürzlichen Interviews mit dem Security-Spezialisten g0njxa zum Besten gab – dort erfolgreich sein, wo andere Stealer wie StealC oder Rhadamantys scheitern. Besonders brisant: Fickle kann offenbar sogar hochentwickelte Unternehmensschutzsysteme umgehen und wird nicht nur privat verteilt, sondern ist auch integraler Bestandteil eines weiteren Werkzeugs aus seiner Schmiede – EncryptRAT.
„Wir konnten Fickle Stealer eindeutig mit einem früher bekannten Alias von EncryptHub verknüpfen“, erklärt Lopez. „Außerdem wurde eine Domain, die in der Malware-Kampagne verwendet wurde, auch im Rahmen seiner legalen Freelancer-Tätigkeit genutzt. Unsere Analyse legt nahe, dass seine kriminellen Aktivitäten etwa im März 2024 begonnen haben – die Veröffentlichung von Fortinet dürfte die erste öffentliche Spur gewesen sein.“
Besonders auffällig: EncryptHub nutzte in hohem Maße ChatGPT von OpenAI – nicht nur zur Unterstützung bei der Entwicklung von Schadcode, sondern auch für Übersetzungen, Kommunikation und teilweise sogar als „digitale Beichtstelle“, wie Lopez es nennt. „Der Fall EncryptHub zeigt, dass nicht technische Fähigkeiten, sondern Nachlässigkeiten bei der operativen Sicherheit Cyberkriminellen zum Verhängnis werden“, so Lopez. „Selbst einfache Fehler wie Passwort-Wiederverwendung, schlecht geschützte Infrastruktur oder das Vermischen privater und krimineller Aktivitäten können zur Aufdeckung führen – wie in diesem Fall.“