Nel vasto panorama della minaccia informatica globale, il caso di EncryptHub rappresenta un esempio sorprendente di come le nuove tecnologie, in particolare l’intelligenza artificiale, stiano trasformando il modo in cui gli attori malevoli operano. Dietro questo nome si cela un cybercriminale con origini nell’Europa dell’Est, che in pochi anni ha attraversato il confine tra legittima ricerca di sicurezza e attacco attivo a infrastrutture.
La sua traiettoria parte da una vita relativamente ordinaria: lavori precari nel settore IT, corsi online, difficoltà economiche e infine un punto di svolta nel 2024, quando comincia a collaborare a campagne ransomware e vishing. A quel punto, la transizione verso lo sviluppo malware è rapida. Parte del suo successo si deve all’uso costante di ChatGPT, impiegato per generare codice, testare exploit, scrivere post per forum underground e persino aiutare nelle traduzioni di email e messaggi commerciali con altri attori della scena.
La doppia identità di un black hat “pentito”: tra ricerca legittima e sabotaggi mirati
La figura di EncryptHub non si limita al classico ruolo di “hacker cattivo”. Alcuni dei suoi exploit sono stati riconosciuti ufficialmente dal Microsoft Security Response Center, tra cui due CVE del 2025. Parallelamente, però, ha anche venduto altri 0-day nei forum criminali, redigendo gli annunci con l’aiuto di AI e rivelando così una doppia anima operativa: quella di ricercatore tecnico legittimato e di attaccante malizioso.
Nei suoi scambi con ChatGPT emerge una personalità complessa. Chiede all’AI di valutare il proprio profilo, alternando affermazioni egocentriche a veri e propri piani di “riabilitazione” tramite la fondazione di una propria impresa di sicurezza. Ma infine conclude: “Andrò nel lato oscuro”. In un’altra conversazione, propone di costruire una campagna per screditare aziende come Outpost24 e Fortinet, vantandosi di exploit che metterebbero in crisi i loro prodotti.
Gravi errori OPSEC svelano l’identità e le operazioni di EncryptHub
Nonostante le sue competenze, EncryptHub, secondo Outpost24, commette una serie di errori critici di sicurezza operativa (OPSEC). Tra questi, l’utilizzo degli stessi alias per operazioni legittime e criminali, la gestione di server C2 con directory pubbliche visibili, la conservazione di backup 2FA in file di testo esfiltrati da malware, e l’utilizzo di username privati per accedere a infrastrutture compromesse.
Uno dei suoi server più recenti, ad esempio, è stato lanciato con XAMPP nella configurazione di default, rivelando l’IP reale dietro Cloudflare. Altro elemento distintivo è l’uso ingenuo di Telegram Bot non protetti, che hanno consentito agli analisti di infiltrarsi nei canali di comando e osservare l’attività criminale dall’interno.
Il ruolo di ChatGPT: un compagno di sviluppo, scrittura e persino strategia criminale
L’intelligenza artificiale, in particolare ChatGPT, è stata utilizzata come un partner strategico. EncryptHub ha chiesto all’AI di aiutarlo a generare bot Telegram, server C2, interfacce per phishing, servizi .onion e perfino script di exfiltration. In un’occasione, ha chiesto di creare un malware “clipper” in PowerShell e di ottimizzare i processi di raccolta credenziali.
Più inquietante ancora, ChatGPT è stato impiegato per elaborare strategie comunicative aggressive, come post per forum underground e insulti diretti a società di sicurezza, costruendo un’immagine pubblica deliberatamente provocatoria. Questa complicità, sebbene involontaria, mostra come i modelli linguistici possano essere sfruttati da figure ambigue, nonostante le limitazioni imposte per impedirne l’abuso.
Parallelamente, emerge la nuova falla CVE-2025-31334 in WinRAR
Mentre EncryptHub gioca con la visibilità e la minaccia, un’altra vulnerabilità rilevante scuote il mondo della sicurezza: CVE-2025-31334, una falla scoperta nel popolare archiviatore WinRAR che consente di bypassare la protezione Mark of the Web (MotW) di Windows. Questa funzione è cruciale per avvisare gli utenti quando aprono file scaricati da Internet, mostrando un alert che frena l’esecuzione di codice potenzialmente pericoloso.
Tuttavia, nella versione di WinRAR precedente alla 7.11, è possibile sfruttare collegamenti simbolici (symlink) che puntano a file eseguibili, ingannando così il sistema e facendo passare contenuti remoti come sicuri. Anche se per creare un symlink sono necessari privilegi di amministratore, il rischio è elevato in contesti aziendali dove questi privilegi sono più comuni o vengono elevati dinamicamente da malware.
Questa vulnerabilità si inserisce in una lunga serie di tentativi di aggirare MotW, meccanismo già violato in passato attraverso doppia compressione in 7-Zip o abusi di file PPKG. Le conseguenze includono l’esecuzione automatica di payload, infettando sistemi senza nemmeno mostrare una finestra di avviso.
Le connessioni: dagli errori umani alle falle software, l’ecosistema della minaccia è sempre più integrato
I due casi trattati — EncryptHub e la vulnerabilità di WinRAR — mettono in evidenza come la sicurezza sia oggi un sistema interconnesso, dove gli errori individuali si combinano con le falle strutturali del software per amplificare il rischio.
Ti è piaciuto questo contenuto? Iscriviti alla nostra newsletter settimanale
Seguici su Google News iscrivendoti al canale
EncryptHub sfrutta modelli linguistici per amplificare la propria efficacia, mentre le falle come CVE-2025-31334 creano i presupposti tecnici per catene di attacco altamente stealth, invisibili agli occhi dell’utente e spesso ai software di protezione. L’interazione tra questi due mondi – quello umano e quello computazionale – costituisce la nuova frontiera della minaccia informatica.