Según los informes, CiCrypThub, un notorio jugador de amenazas vinculado a violaciones en 618 organizaciones, informó dos vulnerabilidades de Windows Zero-Day a Microsoft, revelando una cifra contradictoria en la línea entre el delito cibernético y la investigación de seguridad.
Las vulnerabilidades informadas son CVE-2025-24061 (Marca de bypass web) y CVE-2025-24071 (Spoofing Explorer de archivos), que Microsoft abordó durante las actualizaciones del parche de marzo de 2025 el martes, reconociendo al periodista como “Skorikari con Skorikari”.
Fuente: Microsoft
A Nuevo informe de undpost24 Los investigadores ahora han vinculado al actor de la amenaza de CiCrypthub a Skorikari después de que el actor de amenaza infectó y expuso sus diplomas.
Esta exposición ha permitido a los investigadores vincular la amenaza con varias cuentas en línea y exhibir el perfil de una persona que vacila entre ser un investigador de seguridad cibernética y un cibercrimiral.
Una de las cuentas expuestas es Skorikari, que el pirata utilizó para revelar las dos vulnerabilidades mencionadas en Microsoft, contribuyendo a la seguridad de Windows.
Héctor García, analista de seguridad de Outpost24, dijo a Bleeping Compompute que el enlace de Skorikari a CiCrypThub se basa en múltiples evidencia, compensando una evaluación de alta confianza.
“La evidencia más difícil provino del hecho de que los archivos de contraseña exfiltrados en cifrado en su propio sistema tenían cuentas vinculadas tanto a CiCryPTHUB, como la información de identificación en CiCryPtratt, que todavía estaba en desarrollo, o en su cuenta en XSS.I, como a Skorikari, como el acceso a sitios independientes o su propia cuenta de Garcia”, dijo Garcia.
“También hubo una conexión a hxxps: // github[.]Com / Skorikjr, que se mencionó en el Fortinet de julio en Fickle Stealer, reuniendo todo. “
“Otra enorme confirmación del vínculo entre los dos fueron las conversaciones con ChatGPT, donde se puede observar la actividad vinculada a CiCrypThub y Skorikari”.
La incursión de CiCrypThub en cero días no es nueva, con el actor de amenaza o uno de los miembros que intenta vender cero días a otros ciberdelincuentes en los foros de piratería.
Fuente: BleepingCompute
OUTPOST24 se sumergió en el viaje de CiCryPThub, declarando que el pirata se mueve varias veces entre el trabajo de desarrollo independiente y la actividad del delito cibernético.
A pesar de su aparente experiencia en TI, el pirata habría sido víctima de malas prácticas OPSEC que permitieron exhibir su información personal.
Esto incluye el uso de ChatPPT pirata para desarrollar sitios de software de malware y phishing, la integración del código de terceros y la búsqueda de vulnerabilidades.
El actor de amenaza también tuvo un compromiso personal más profundo y personal con el Chatbot Operai LLM, en un caso que describía sus logros y pidiendo a la IA que lo clasifique como un pirata genial o un investigador malicioso.
Basado en las entradas proporcionadas, ChatGPT lo evaluó como un sombrero negro 40%, un sombrero gris 30%, un 20% de sombrero blanco y 10% incierto, que refleja un individuo moral y prácticamente conflicto.
El mismo conflicto se refleja en su planificación futura en ChatGPT, donde el hacker solicita la ayuda del chatbot para organizar una campaña masiva pero “inofensiva” que afecta a decenas de miles de computadoras para publicidad.
Fuente: Outlook24
Encrypthub
CiCrypThub es un jugador de amenazas que estaría vagamente afiliado a pandillas de ransomware, como Ransomhub y operaciones de combinación.
Sin embargo, más recientemente, los actores de amenaza se han hecho un nombre con varias campañas de ingeniería social, ataques de phishing y la creación de un infestador basado en PowerShell personalizado nombrado Ladrón caprichoso.
También se sabe que el actor de amenaza lleva a cabo campañas de ingeniería social donde crean perfiles de redes sociales y sitios web para aplicaciones ficticias.
En un ejemplo, Los investigadores encontraron que el actor de amenaza ha creado una cuenta X y un sitio web para una aplicación de gestión de proyectos llamada Gartorispace.
Fuente: BleepingCompute
Este sitio ha sido promovido a través de mensajes privados en plataformas de redes sociales que proporcionarían un código requerido para descargar el software. Al descargar el software, los dispositivos de Windows recibirían un archivo PPKG [VirusTotal] Este ladrón destruido instalado y los dispositivos Mac recibirían la información ladrona Amos [VirusTotal].
CiCryPTHUB también se ha vinculado a los ataques de día cero de Windows, operando una vulnerabilidad de la consola de administración de Microsoft, seguido como CVE-2025-26633. El defecto se estableció en marzo, pero se le otorgó a la tendencia de Micro en lugar del actor de amenaza.
En general, las campañas de los actores de amenaza parecen trabajar para ellos como un informe de ProDaft, dice que los actores de amenaza han comprometido a más de seiscientas organizaciones.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.