Una investigación realizada por Outpost24 KrakenLabs ha revelado un caso sin precedentes en el mundo de la ciberseguridad: un reconocido investigador de vulnerabilidades que colaboraba con Microsoft resultó ser simultáneamente el ciberdelincuente conocido como EncryptHub, responsable de comprometer más de 600 organizaciones mediante ataques sofisticados.
La Caída de una Doble Identidad en el Ciberespacio
El descubrimiento ocurrió cuando el atacante, que operaba bajo el pseudónimo SkorikARI en programas legítimos de bug bounty, cometió un error crítico en su seguridad operacional (OPSEC): su sistema se infectó accidentalmente con su propio malware. Esta brecha expuso credenciales que vinculaban sus diferentes identidades online, revelando su participación tanto en actividades legítimas como maliciosas.
Trayectoria y Evolución Criminal
La investigación reveló que el atacante, originario de Ucrania, se estableció en Rumania hace aproximadamente una década. Inicialmente buscó oportunidades legítimas en el sector tecnológico, incluyendo participación en programas de recompensas por vulnerabilidades. Sin embargo, a principios de 2024, tras resultados económicos insatisfactorios, migró hacia actividades ciberdelictivas.
Arsenal Técnico y Métodos de Ataque
Entre las herramientas desarrolladas por EncryptHub destaca el infostealerFickle Stealer, además de su colaboración con grupos de ransomware como RansomHub y BlackSuit. El atacante demostró particular sofisticación al explotar la vulnerabilidad CVE-2025-26633 en Microsoft Management Console para distribuir malware avanzado como SilentPrism y DarkWisp.
Innovación Criminal mediante IA
Un aspecto destacable de sus operaciones fue la utilización de tecnologías de IA, específicamente ChatGPT, para automatizar el desarrollo de código malicioso y crear sitios de phishing convincentes. Esta metodología representa una tendencia preocupante en la evolución de las amenazas cibernéticas modernas.
Este caso ejemplifica cómo incluso los actores más sofisticados pueden ser descubiertos por errores básicos en su seguridad operacional. Para las organizaciones, esto refuerza la importancia de mantener programas robustos de gestión de vulnerabilidades y la necesidad de implementar un enfoque de seguridad multicapa que incluya monitorización continua, control de accesos y capacitación en concientización sobre seguridad. La lección fundamental es clara: la excelencia técnica no compensa las fallas en los principios básicos de la seguridad operacional.
