上个月微软修补微软管理主控台（MMC）零时差漏洞CVE-2025-26633（MSC EvilTwin），通报此事的趋势科技指出，将其用于实际攻击的骇客身分，为匿称为EncryptHub、LARVA-208、Water Gamayun的俄罗斯骇客组织，这些人利用上述漏洞，在受害组织部署多种恶意程序，其中包括窃资软件Rhadamanthys、StealC、EncryptHub，以及后门程序DarkWisp、SilentPrism。有另一家资安业者针对该组织进行调查，指出骇客不只从事网路犯罪，也一方面从事白帽骇客的工作，向企业通报漏洞赚取奖金。

资安业者Outpost24指出，他们针对EncryptHub着手进行调查，结果发现骇客一系列的操作安全（OPSEC）失误，曝露了该组织的生态系统关键元件，使得研究人员能够更深入映射骇客的手法，并详细剖析他们的攻击链。

研究人员指出，他们确认骇客使用PowerShell指令码进行多阶段攻击，收集系统资料、外流有价值的资讯、迴避侦测、注入恶意酬载，以及部署窃资软件。骇客偏好优先窃取含有帐密资料的事件记录文件，使用按部署恶意软件数量付费（Pay-Per-Install，PPI）的第三方服务散布恶意程序，此外，他们也相当关切资安态势，会将特定漏洞用于实际攻击。附带一提的是，这些骇客疑似也想要打造名为EncryptRAT的远端存取工具，向其他网路罪犯兜售。

但特别的是，Outpost24发现该组织背后，其实是1名10年前逃离家乡乌克兰的人士。此人一边工作一边自学电脑相关技能，直到2022年初疑似因入狱而停止活动，出狱后以网页及应用程序开发服务接案，除此之外，他也投入漏洞悬赏抓漏，但仅有少数成果。EncryptHub在收入不足的情况下，于2024年上半开始从事网路犯罪。

研究人员特别提及，EncryptHub一面从事网路犯罪，却也想要参与资安研究员的工作，其中两个微软于今年3月修补的资安漏洞CVE-2025-24061、CVE-2025-24071，就是EncryptHub使用SkorikARI的名字成功通报。但Outpost24认为，EncryptHub很有可能也将上述两项漏洞用于攻击行动。

Outpost24特别强调EncryptHub广泛在网路犯罪的各式工作运用ChatGPT的现象，此人透过AI聊天机器人打造了Telegram机器人、C2服务器、钓鱼网站、邮件服务器，以及位于洋葱网路（.onion）的服务，甚至编写恶意程序，或是用来了解他人製作的程序码并改进，以及与自己的作案工具整合。

此外，EncryptHub也使用ChatGPT进行写作及翻译，甚至讨论未来的职涯──继续从事网路犯罪，还是转战白帽骇客。

但究竟研究人员如何得知如此详尽的细节？Outpost24指出，EncryptHub重覆使用相似的密码（200个帐号有82组密码几乎相同），将骇客活动与个人生活混合使用相同的网路帐号、电子邮件信箱及基础设施，再者，骇客建置的C2服务器并未採取适当保护措施，任何人都能在不需通过身分验证的情况下存取所有文件，因此他们才能掌握相关资讯。