Bleeping Computerはこのほど、「EncryptHub's dual life: Cybercriminal vs Windows bug-bounty researcher」において、サイバー攻撃者がセキュリティ研究者として活動していたと伝えた。

これはOutpost24の研究者の調査レポートにて明らかになったもの。脅威アクターが自分自身の認証情報を流出させたことで、脅威アクター「EncryptHub」とセキュリティ研究者「SkorikARI」との結びつきが判明したとしている(参考:「Unmasking EncryptHub: help from ChatGPT & OPSEC blunders」)

  • EncryptHub's dual life: Cybercriminal vs Windows bug-bounty researcher

    EncryptHub's dual life: Cybercriminal vs Windows bug-bounty researcher

攻撃者&研究者の正体

Bleeping Computerによると、EncryptHubは618もの組織への侵入に関与した実績のある攻撃者とみられる。主な活動としては、多段階の攻撃チェーンを利用した情報窃取マルウェアの展開、人気アプリのユーザーを標的としたトロイの木馬の配布などを行うとされる。

Outpost24の研究者が調査を実施したところ、OPSECの失敗によりエコシステムの重要な要素を誤って公開していることを発見したという。主要なインフラストラクチャにおいてディレクトリの一覧表示が有効になっており、マルウェアの実行可能ファイル、悪意のあるPowerShellスクリプト、情報窃取マルウェアのログ、データ流出やサイバー攻撃キャンペーンに使用されたTelegramボットの設定などの入手に成功したとのことだ。

研究者は入手した情報をさまざまなオンラインアカウントに結びつけ、プロファイリングを実施している。その過程で、一人のセキュリティ研究者「SkorikARI」との一致を確認している。

SkorikARIはMicrosoftに2つの脆弱性「CVE-2025-24071」および「CVE-2025-24061」を報告した研究者。いずれもMicrosoftに脆弱性として認められ、その助力に謝辞が述べられている(参考:「CVE-2025-24071 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft Windows ファイル エクスプローラーのスプーフィングの脆弱性」)。

活動の実態と対策

Microsoftに報告された脆弱性は、攻撃者としての活動において悪用された可能性が高いと指摘されている。Bleeping Computerは攻撃者またはその関係者がゼロデイの脆弱性を販売していることを確認しており、この人物は攻撃者としての活動に主軸があると推測されている。

  • EncryptHubによるゼロデイ脆弱性の販売サイト - 引用:Bleeping Computer

    EncryptHubによるゼロデイ脆弱性の販売サイト 引用:Bleeping Computer

EncryptHubは新興の攻撃者と位置付けられており、Outpost24の研究者は多くの才能を示しているとして、その能力を高く評価している。しかしながら、同時に基本的なセキュリティ対策に従う慎重なユーザーは被害に遭う可能性は低いとも述べ、セキュリティ対策の実施を推奨している。