EncryptHub: 윈도우 취약점을 제보한 이중적 사이버 행위자 분석

Microsoft Credits EncryptHub, Hacker Behind 618+ Breaches, for Disclosing Windows Flaws

 

The controversial case of the threat actor EncryptHub

The controversial case of the threat actor EncryptHub

 

• 행위자 개요 및 배경
  • EncryptHub는 우크라이나 출신으로 알려진 독립 사이버 범죄자로, 현재 루마니아 인근에 거주
  • 자가 학습으로 컴퓨터공학을 익힌 뒤 프리랜서 개발자로 활동했으며, 2022년 잠시 활동 중단 후 2024년 사이버 범죄 활동 재개
  • 사이버 보안과 범죄 사이를 오가는 모순된 이중 생활을 지속
• 윈도우 제로데이 및 보안 취약점 제보
  • Microsoft는 2025년 3월 패치 화요일(Patch Tuesday)을 통해 두 건의 취약점에 대해 EncryptHub의 또 다른 이름인 SkorikARI를 제보자로 공식 인정
    • CVE-2025-24061 (CVSS 7.8): Windows Mark-of-the-Web 기능 우회 취약점
    • CVE-2025-24071 (CVSS 6.5): Windows 파일 탐색기 내 네트워크 상 스푸핑 가능 취약점
  • 해당 취약점은 EncryptHub가 개발한 악성코드 또는 공격 시나리오에서 직접 활용된 것으로 추정됨
• 주요 악성코드 및 공격 캠페인
  • Fickle Stealer: Rust 기반 정보 탈취 악성코드로, StealC 및 Rhadamantys보다 회피 성능이 우수하다는 주장
  • EncryptRAT: Fickle Stealer의 기능을 통합한 고급 RAT 툴킷
  • SilentPrism 및 DarkWisp: Microsoft 관리 콘솔의 제로데이(CVE-2025-26633) 공격을 통해 배포된 백도어
  • WinRAR 가짜 사이트 및 GitHub 저장소(encrypthub)를 통해 악성코드 배포
• OPSEC 실패 및 추적 경로
  • 동일한 비밀번호 재사용, 2FA 미적용, 개인 활동과 범죄 활동 혼합
  • 악성코드 테스트 중 자신 시스템에서 자가 감염 발생 → 개인정보 유출
  • 텔레그램 봇 구성 오류로 인해 공격 그룹의 내부 채널 노출
  • 공개된 인프라를 통해 실제 프리랜서 경력과 악성코드 인프라 연관 확인됨
• ChatGPT의 악용 사례
  • 이메일, 메시지, 협상문 번역 등 소통 도구로 활용
  • CVE 관련 검색, 포럼 게시글 작성, 해킹 전략 논의 등 전방위적인 활용
  • 스스로 ChatGPT를 “조언자”처럼 대하며 사이버범죄 전환 고민을 공유
• 향후 위협 전망
  • EncryptHub는 기술적으로 재능이 있으나 기본적인 보안 수칙 미준수로 인해 실체가 노출
  • 보안 취약점 발굴 능력과 도구화 역량이 있어 향후 보안 커뮤니티 또는 위협 그룹 내에서 영향력 확대 가능성 존재
  • 모든 사용자는 기본 보안 수칙(2FA, 의심 링크 차단, 최신 보안 업데이트 등)을 통해 감염 위험을 줄일 수 있음
• 결론
  • EncryptHub 사례는 기술적 역량이 뛰어나더라도 보안 기본기가 부족하면 추적이 가능함을 보여줌
  • 사이버 보안과 범죄 사이에서 갈등하는 개인이 어떻게 커뮤니티 위협이 되는지를 보여주는 대표 사례
  • 보안 커뮤니티는 이러한 이중적 행위자에 대한 지속적인 추적과 대응 체계를 구축할 필요가 있음