أشادت شركة مايكروسوفت بشخص يُحتمل أن يكون “ذئبًا منفردًا” يُعرف باسم EncryptHub، بعد اكتشافه وإبلاغه عن ثغرتين أمنيتين في نظام ويندوز الشهر الماضي. يأتي هذا الاعتراف رغم خلفية الشخص المثيرة للجدل، حيث تشير التقارير إلى أنه يمارس القرصنة الإلكترونية إلى جانب محاولة بناء مسيرة شرعية في مجال الأمن السيبراني.
في تقرير تحليلي شامل أصدرته شركة Outpost24 KrakenLabs السويدية، تم الكشف عن هوية هذا المخترق الصاعد، والذي هرب قبل حوالي 10 سنوات من مدينة خاركوف الأوكرانية ليستقر قرب الساحل الروماني، وفقًا للتقرير.
تفاصيل الثغرات الأمنية المكتشفة
تمت الإشارة إلى اسم “SkorikARI with SkorikARI” كمكتشف للثغرات، وهو اسم مستخدم يُعتقد أنه يعود لـ EncryptHub. وقد تم إصلاح كلا الثغرتين من قبل مايكروسوفت ضمن تحديثات Patch Tuesday الأخيرة:
-
CVE-2025-24061 (درجة CVSS: 7.8): ثغرة تجاوز حماية Mark-of-the-Web (MotW) في Windows.
-
CVE-2025-24071 (درجة CVSS: 6.5): ثغرة انتحال هوية في مستعرض ملفات ويندوز (File Explorer).
من هو EncryptHub؟ مسيرة مزدوجة بين الاختراق والبرمجة
يُعرف هذا المخترق أيضًا بأسماء مستعارة مثل LARVA-208 وWater Gamayun، وقد تم تسليط الضوء عليه لأول مرة منتصف عام 2024 بعد استخدامه موقع WinRAR مزيف لتوزيع برمجيات خبيثة عبر مستودع GitHub باسم “encrypthub”.
وخلال الأسابيع الأخيرة، نُسب إليه استغلال ثغرة يوم صفر جديدة في Microsoft Management Console (CVE-2025-26633)، والمعروفة باسم MSC EvilTwin، لنشر أدوات سرقة بيانات وأبواب خلفية غير موثقة سابقًا، مثل SilentPrism وDarkWisp.
أكثر من 618 اختراقًا خلال 9 أشهر
تُقدّر شركة PRODAFT أن EncryptHub مسؤول عن اختراق أكثر من 618 هدفًا عالي القيمة في صناعات متعددة خلال الأشهر التسعة الماضية.
وقالت ليديا لوبيز، كبيرة محللي استخبارات التهديدات في Outpost24:
“تشير جميع البيانات التي جمعناها إلى أن هذه الأنشطة نُفذت من قبل شخص واحد، لكن لا يمكننا استبعاد وجود متعاونين.”
كما تم اكتشاف مستخدم آخر يمتلك صلاحيات إدارية في قناة Telegram ستخدم فيها تتبع الإحصائيات، مما يشير إلى احتمال وجود مساعدين دون انتماء جماعي واضح.
ضعف أمني شخصي ساهم في كشف الهوية
تمكّنت Outpost24 من تتبع أنشطة EncryptHub الرقمية من خلال “إصابات ذاتية” نتيجة ضعف في ممارسات الأمان العملياتي، مما كشف عن تفاصيل جديدة تخص البنية التحتية وأدوات الهجوم المستخدمة.
وبحسب التقرير، فقد انتقل هذا الشخص إلى منطقة غير محددة قرب رومانيا، وبدأ تعلم علوم الحاسوب ذاتيًا عبر دورات تدريبية عبر الإنترنت، وسعى للحصول على وظائف في مجال البرمجة. إلا أن جميع أنشطته توقفت فجأة مطلع عام 2022، بالتزامن مع اندلاع الحرب الروسية الأوكرانية، وتُشير الأدلة إلى أنه قد سُجن خلال هذه الفترة.
وبعد إطلاق سراحه، عاد للبحث عن عمل، مقدمًا خدمات تطوير الويب والتطبيقات بشكل حر، لكنها على ما يبدو لم تكن كافية ماديًا، ما دفعه – حسب التقرير – إلى التحول إلى الجريمة الإلكترونية في أوائل عام 2024.
بداياته في الجريمة الإلكترونية: برمجية Fickle Stealer
من أولى أدواته في عالم الجرائم الإلكترونية كانت Fickle Stealer، وهي برمجية خبيثة مبنية بلغة Rust ظهرت أول مرة في تقارير Fortinet خلال يونيو 2024، ويتم توزيعها عبر قنوات متعددة.
وفي مقابلة مع الباحث الأمني g0njxa، قال المخترق إن Fickle “توفر نتائج على الأنظمة التي تفشل فيها أدوات مثل StealC وRhadamantys”، وأنها تتجاوز برامج مكافحة الفيروسات في بيئات الشركات.
كما ذكر أن أداة Fickle تُعتبر جزءًا أساسيًا من منتج آخر يُدعى EncryptRAT.
قالت لوبيز:
“استطعنا ربط Fickle Stealer بهوية EncryptHub، وحتى أن بعض النطاقات المستخدمة تتطابق مع البنية التحتية لأعماله المشروعة كعامل حر.”
استخدام ChatGPT لأغراض هجومية
المثير للانتباه أن EncryptHub استخدم أدوات الذكاء الاصطناعي مثل ChatGPT في تطوير برمجياته الخبيثة، بل وحتى في ترجمة الرسائل الإلكترونية أو كتابة محتوى احتيالي.
وأكدت لوبيز:
“رغم ذكائه التقني، فإن ضعف الأمان العملياتي – مثل إعادة استخدام كلمات المرور وخلط الحياة الشخصية بالأنشطة الإجرامية – كان سببًا رئيسيًا في كشف هويته.”
