Um hacker identificado pela alcunha EncryptHub — também conhecido por outros nomes como LARVA-208 e Water Gamayun — foi reconhecido pela Microsoft por relatar duas vulnerabilidades importantes no sistema Windows, mesmo estando ligado a mais de 600 violações de segurança nos últimos meses.
Microsoft credita hacker por revelar falhas no Windows mesmo com histórico criminoso
A revelação veio após uma análise detalhada conduzida pela Outpost24 KrakenLabs, empresa de cibersegurança sediada na Suécia. O estudo traça o perfil do hacker, descrito como alguém dividido entre buscar uma carreira legítima na área de tecnologia e se envolver com atividades ilícitas no cibercrime.
Segundo os especialistas, o hacker, que teria deixado sua cidade natal Kharkov, na Ucrânia, há aproximadamente uma década, fixou residência em uma região próxima à costa da Romênia. Desde então, manteve um perfil discreto, estudando ciência da computação por conta própria e participando de cursos online.
Vulnerabilidades descobertas e creditadas
A Microsoft listou as duas falhas atribuídas ao usuário “SkorikARI com SkorikARI”, pseudônimo associado ao EncryptHub:
- CVE-2025-24061 (pontuação CVSS: 7.8): exploração do recurso Mark-of-the-Web (MotW) no Windows.
- CVE-2025-24071 (pontuação CVSS: 6.5): falha de falsificação no File Explorer.
Essas vulnerabilidades foram corrigidas no Patch Tuesday de março e reforçam a complexa relação entre cibercriminosos e programas de recompensa por bugs, que visam identificar brechas em sistemas.
De freelancer a cibercriminoso
Após um período sem atividade iniciado em 2022 — provavelmente ligado à eclosão da guerra na Ucrânia e uma possível prisão — o hacker teria retomado suas ações oferecendo serviços como desenvolvedor freelance. Contudo, devido à baixa remuneração, acabou migrando para o crime digital.
Segundo a PRODAFT, o EncryptHub foi responsável por comprometer mais de 618 alvos estratégicos em setores variados desde o início de sua operação ofensiva em 2024.
Um dos primeiros ataques conhecidos é atribuído ao malware Fickle Stealer, baseado na linguagem Rust, documentado pela primeira vez em junho de 2024 pela Fortinet. A ameaça é descrita como mais eficaz que outros ladrões de informações, inclusive contra sistemas corporativos com antivírus avançados.
Conexões com inteligência artificial e falhas de segurança operacional
Em entrevistas recentes, o próprio agente confirmou que ferramentas como o ChatGPT foram amplamente utilizadas para acelerar o desenvolvimento de códigos maliciosos e até mesmo auxiliar na comunicação com vítimas.
Apesar da sofisticação técnica, os analistas da Outpost24 ressaltam que erros básicos acabaram comprometendo o anonimato do hacker. Entre as falhas destacam-se a reutilização de senhas, o uso de infraestrutura pessoal em campanhas criminosas e a exposição de canais de Telegram com múltiplos administradores.
Esses deslizes permitiram aos investigadores identificar e mapear parte de sua rede, incluindo servidores, domínios e ferramentas de ataque, como os malwares SilentPrism e DarkWisp, associados à exploração de outra falha grave no Microsoft Management Console (CVE-2025-26633).
Considerações finais
O caso do EncryptHub escancara os dilemas de indivíduos com conhecimento técnico avançado, mas que escolhem caminhos paralelos à legalidade. Embora tenha sido reconhecido por colaborar com a Microsoft, o passado — e talvez o futuro — do hacker permanece profundamente ligado ao submundo digital.