La figura di EncryptHub si impone nel panorama della cybersicurezza per l’ambiguità del suo operato: se da un lato viene identificato come uno dei principali autori di campagne malevole, con all’attivo la compromissione di 618 organizzazioni, dall’altro emerge un volto insospettabile, quello di un ricercatore di vulnerabilità Windows.
Il punto di svolta nella narrazione arriva con la scoperta, da parte di Outpost24, che lo stesso attore avrebbe segnalato a Microsoft due vulnerabilità zero-day classificate come CVE-2025-24061 (bypass di Mark of the Web) e CVE-2025-24071 (spoofing di file ZIP). Entrambe le vulnerabilità risultano essere exploitable in ambienti Windows e hanno ottenuto un bounty rispettivamente di 4300 e 4750 euro, elargiti attraverso il programma ufficiale Microsoft Bug Bounty.
Secondo l’analisi di Outpost24, EncryptHub avrebbe usato l’alias “XFFERS” per pubblicare exploit proof-of-concept sulla piattaforma GitHub, oltre a mantenere un profilo GitHub riconducibile con il nickname “EncryptBoY“. Parallelamente, nel lato oscuro del web, è stato associato ad attività di compromissione tramite accessi RDP e VPN, attacchi di phishing, esfiltrazione di dati, e collaborazione con gang ransomware. Le comunicazioni Telegram, così come gli annunci su forum underground, hanno consolidato il legame tra le identità.
Attacchi mirati e tecniche raffinate
EncryptHub ha operato principalmente come initial access broker, rivendendo accessi a reti compromesse. È emersa anche un’attività consistente nel vendere builder per malware customizzati e in alcuni casi gestire ransomware-as-a-service. In particolare, sono stati identificati servizi mirati al furto di dati sanitari, di cui si è avuta conferma attraverso lo studio di documenti compromessi e venduti nel dark web.
Una caratteristica distintiva è stata l’utilizzo di exploit 0-day in parallelo con gli strumenti di penetrazione più comuni. Alcuni degli attacchi hanno coinvolto distribuzioni mirate tramite drive-by download, file .lnk infetti, e il ricorso a loader sviluppati in AutoIt e Go. In determinati casi, EncryptHub ha mascherato i propri strumenti sotto file eseguibili con firme digitali compromesse, aumentando il grado di sofisticazione e la difficoltà di rilevamento.
La parabola discendente del gruppo Everest
In un’altra vicenda degna di nota, il gruppo ransomware Everest, attivo dal 2020, ha subito un clamoroso contrattacco. La sua piattaforma di leak nel dark web è stata defacciata da un attore ignoto che ha lasciato il messaggio: “Don’t do crime. CRIME IS BAD xoxo from Prague”, mettendo fine all’attività pubblica del sito che oggi restituisce l’errore “Onion site not found”.
Secondo Tammy Harper, ricercatrice di Flare, il gruppo Everest usava un template WordPress per il proprio blog. Una vulnerabilità nota di questo CMS potrebbe aver rappresentato la porta d’ingresso per l’attaccante, anche se non esistono ancora prove definitive sulla tecnica utilizzata.
Gruppo noto per l’estorsione multipla
Everest era noto per una strategia di double extortion, in cui le vittime, oltre a subire la cifratura dei dati, venivano minacciate con la pubblicazione delle informazioni sensibili. La gang ha colpito oltre 230 organizzazioni e negli ultimi anni si è evoluta passando dalla semplice esfiltrazione alla cifratura vera e propria dei sistemi.
Tra i casi più recenti, si ricorda l’attacco a STIIIZY, noto brand californiano di cannabis, la cui infrastruttura POS è stata violata per rubare dati identificativi e informazioni sugli acquisti. Inoltre, nel 2024, il Dipartimento della salute e dei servizi umani degli Stati Uniti ha pubblicato un’allerta su Everest, indicandola come una delle minacce più attive contro il settore sanitario.
La sovrapposizione tra white hat e black hat
Il caso EncryptHub solleva interrogativi profondi sulla sovrapposizione tra etica hacker e opportunismo cybercriminale. Non è la prima volta che una figura si muove lungo il crinale tra collaborazione legittima con vendor di sicurezza e attività malevole nel sottobosco criminale. Ma qui si registra un conflitto strutturale: da un lato il bounty etico, dall’altro il commercio illecito di accessi e malware.
Allo stesso tempo, l’attacco al gruppo Everest mostra come nessun attore sia immune da compromissioni, nemmeno quelli ben organizzati e pericolosi. L’uso improprio di piattaforme come WordPress, la dipendenza da CMS standard, e la crescente capacità offensiva di singoli attori, conferma che anche il crimine organizzato ha i suoi talloni d’Achille.
