EncryptHub takma adını kullanan ve büyük olasılıkla tek başına hareket eden bir kişi, geçtiğimiz ay Windows’taki iki güvenlik açığını keşfedip bildirmesi nedeniyle Microsoft tarafından takdir edildi. Bu durum, siber güvenlik alanında yasal bir kariyer ile siber suçlar arasında kalan “ikilemler yaşayan” bir kişiliği gözler önüne seriyor.

İsveç merkezli güvenlik firması Outpost24 KrakenLabs tarafından yayımlanan yeni ve kapsamlı bir analiz, yükselişte olan bu siber suçluyu ifşa etti. Söz konusu kişi, yaklaşık 10 yıl önce Ukrayna’nın Harkov kentinden kaçarak Romanya kıyılarına yakın bir yere taşınmış.

Microsoft, bu güvenlik açıklarının keşfini “SkorikARI with SkorikARI” adlı bir kullanıcıya atfetti. Bu ismin, EncryptHub’un kullandığı başka bir kullanıcı adı olduğu değerlendiriliyor. Redmond tarafından geçtiğimiz ay yayımlanan Patch Tuesday güncellemesi kapsamında giderilen iki güvenlik açığı şunlardı:

  • CVE-2025-24061 (CVSS skoru: 7.8): Microsoft Windows Mark-of-the-Web (MotW) Güvenlik Özelliğini Atlatma Açığı

  • CVE-2025-24071 (CVSS skoru: 6.5): Microsoft Windows Dosya Gezgini Aldatma Açığı

EncryptHub, LARVA-208 ve Water Gamayun takma adlarıyla da takip ediliyor ve 2024 ortalarında sahte bir WinRAR sitesi aracılığıyla GitHub üzerindeki “encrypthub” adlı bir depo üzerinden çeşitli kötü amaçlı yazılımlar yaydığı bir kampanya kapsamında öne çıkmıştı.

Son haftalarda, Microsoft Management Console’da keşfedilen başka bir sıfır gün açığı olan CVE-2025-26633 (CVSS skoru: 7.0, “MSC EvilTwin” olarak da biliniyor) üzerinden bilgi çalan yazılımlar ve daha önce belgelenmemiş SilentPrism ve DarkWisp adlı arka kapı zararlıları dağıtılmasıyla ilişkilendirildi.

Siber güvenlik şirketi PRODAFT’a göre EncryptHub, son dokuz ayda birçok sektörde 618’den fazla yüksek değerli hedefi ele geçirmiş olabilir.

Outpost24 Kıdemli Tehdit İstihbarat Analisti Lidia Lopez, The Hacker News’e verdiği demeçte şunları söyledi:

“Yaptığımız tüm analizler, tek bir bireyin eylemlerine işaret ediyor. Ancak başka tehdit aktörleriyle iş birliği ihtimalini de tamamen dışlayamayız. Bulaşma istatistiklerini izlemek için kullanılan Telegram kanallarından birinde yönetici yetkilerine sahip başka bir kullanıcı yer alıyordu. Bu da, net bir grup bağlantısı olmadan başkalarının yardım ettiğini ya da iş birliği yaptığını gösteriyor olabilir.”

Outpost24, hacker’ın operasyonel güvenlikte yaptığı hatalar nedeniyle kendi sistemine de zararlı bulaştırmasından yola çıkarak, EncryptHub’un dijital izlerini takip etti ve altyapısına ve kullandığı araçlara dair yeni bilgiler elde etti.

Söz konusu kişinin, Romanya kıyılarına yakın, belirlenemeyen bir yere taşındıktan sonra düşük profilli bir yaşam sürdüğü ve bu süreçte çevrim içi kurslara katılarak kendi kendine bilgisayar bilimi eğitimi aldığı, bir yandan da bilgisayar alanında işler aradığı düşünülüyor.

Ancak tehdit aktörünün tüm faaliyetleri, 2022 yılının başlarında, Rusya-Ukrayna savaşının başlamasıyla birlikte aniden kesildi. Outpost24, aynı dönemde kişinin hapse girdiğine dair kanıtlar bulduklarını belirtiyor.

“Serbest kaldıktan sonra yeniden iş aramaya başladı, bu kez web ve mobil uygulama geliştirme alanında freelance hizmetler sunarak bir miktar ilgi çekti,” denildi raporda. “Ancak bu işlerden elde ettiği gelir muhtemelen yeterli olmadı. Kısa bir süre hata ödülü (bug bounty) programlarını denedikten sonra, 2024’ün ilk yarısında siber suça yöneldiğini düşünüyoruz.”

EncryptHub’un siber suç dünyasındaki ilk girişimlerinden biri olan Fickle Stealer, Haziran 2024’te Fortinet FortiGuard Labs tarafından belgelenmişti. Bu, Rust tabanlı bir bilgi çalan zararlı yazılım olup çeşitli kanallar üzerinden yayılıyor.

Siber güvenlik araştırmacısı g0njxa ile yapılan yakın tarihli bir röportajda, tehdit aktörü Fickle Stealer hakkında şu ifadeleri kullandı:

“Fickle, StealC veya Rhadamantys’in asla çalışmayacağı sistemlerde sonuç verir” ve “kurumsal antivirüs sistemlerini başarıyla geçer.”
Ayrıca, bu yazılımın sadece özel olarak paylaşılmadığını, aynı zamanda kendisinin bir diğer ürünü olan EncryptRAT için de “temel bir bileşen” olduğunu belirtti.

Outpost24’ten Lidia Lopez şunları söyledi:

“Fickle Stealer’ı daha önce EncryptHub ile ilişkilendirilen bir takma adla eşleştirmeyi başardık. Ayrıca bu kampanya ile bağlantılı alan adlarından biri, yasal freelance çalışmalarıyla ilişkili altyapıyla eşleşiyor. Yaptığımız analizler, EncryptHub’un siber suç faaliyetlerine 2024 Mart civarında başladığını gösteriyor. Fortinet’in Haziran ayındaki raporu ise bu faaliyetlerin kamuya açık ilk belgesi olabilir.”

Ayrıca EncryptHub’un kötü amaçlı yazılım geliştirme sürecinde OpenAI’nin ChatGPT aracını yoğun şekilde kullandığı, e-posta ve mesaj çevirileri için de destek aldığı ve hatta ChatGPT’yi bir nevi “itiraf aracı” olarak da kullandığı belirtiliyor.

Lopez, şu önemli noktaya dikkat çekti:

“EncryptHub’un durumu, kötü operasyonel güvenliğin siber suçlular için en kritik zayıflıklardan biri olmaya devam ettiğini gösteriyor. Teknik açıdan ne kadar yetenekli olursa olsun; şifreleri tekrar kullanmak, altyapıyı açıkta bırakmak ve kişisel hayatı suç faaliyetleriyle karıştırmak gibi basit hatalar, sonunda deşifre olmasına neden oldu.”