Decryptage : les coulisses d’EncryptHub, entre erreurs d’OPSEC et recours à l’IA

avril 2025 par Outpost24

Outpost24, à travers son équipe de recherche sur les menaces (KrakenLabs), dévoile la deuxième partie de son enquête exclusive consacrée à EncryptHub, un acteur émergent de la cybercriminalité dont l’ascension fulgurante intrigue autant qu’elle alarme. Après avoir exposé en détail son infrastructure, ses campagnes d’attaque et ses techniques d’infection, KrakenLabs revient cette fois sur l’humain derrière le pseudonyme, ses erreurs opérationnelles (OPSEC), et son usage massif de l’intelligence artificielle, notamment ChatGPT.

De l’ombre à la lumière : portrait d’un hacker à visage humain

Contrairement à l’image du cybercriminel ultra-organisé, appuyé par des gouvernements ou doté de ressources illimitées, EncryptHub apparaît comme un individu ordinaire, au parcours cabossé. Originaire d’Ukraine, il aurait fui sa ville natale il y a dix ans, avant de s’installer dans une région côtière proche de la Roumanie. En autodidacte passionné d’informatique, il a tenté de bâtir une carrière légitime – jusqu’à ce que son activité s’interrompe brutalement en 2022, probablement en raison d’un séjour en prison.

C’est en 2024 qu’il bascule dans le cybercrime, après des tentatives peu fructueuses dans les programmes de bug bounty. Il participe d’abord à des campagnes de ransomware et de vishing, avant de se faire remarquer par ses compétences avancées en développement de malware.

Un hacker doué… mais négligent

L’enquête révèle de nombreuses erreurs d’OPSEC (Operational Security) commises par EncryptHub, qui ont permis aux analystes de reconstituer son parcours. Parmi les plus flagrantes :

● Réutilisation de mots de passe sur des dizaines de comptes critiques (serveurs C2, hébergeurs, échanges crypto) avec une faible complexité.

● Absence de double authentification, ou stockage des codes 2FA dans des fichiers texte non sécurisés.

● Confusion entre sphère personnelle et activité illégale : adresses mail personnelles utilisées pour ses campagnes malveillantes, infrastructures partagées avec ses projets freelance.

● Serveurs mal configurés, exposant des fichiers sensibles (comme les bots Telegram ou les identifiants volés) sans aucune protection.

L’un de ces serveurs, mal sécurisé, a d’ailleurs été le point de départ de l’investigation de KrakenLabs.

Quand l’IA devient complice

L’élément le plus surprenant reste l’usage intensif de ChatGPT par EncryptHub. L’IA générative a été sollicitée pour tout : développement de bots Telegram, configuration de serveurs C2, rédaction de malwares, compréhension de failles, création de posts pour forums cybercriminels et même… évaluation psychologique personnelle.

Un échange particulièrement troublant montre EncryptHub s’interrogeant sur son identité morale : « Suis-je plutôt white hat ou black hat ? » ChatGPT, tout en essayant de le convaincre de suivre la voie légale, l’évalue à 40 % black hat, 30 % grey hat, 20 % white hat… et 10 % d’incertitude. Une photographie saisissante d’un individu en pleine lutte intérieure.

Vers une reconversion… ou une fuite en avant ?

Malgré une reconnaissance officielle de deux failles critiques (CVE-2025-24071 et CVE-2025-24061) par Microsoft, EncryptHub semble hésiter entre une reconversion en chercheur légitime et une affirmation plus radicale de son rôle de "cyber-justicier".

Dans ses discussions avec ChatGPT, il évoque un plan en cinq étapes pour décrédibiliser les solutions de sécurité actuelles et imposer sa propre alternative… au risque d’attirer encore davantage l’attention des autorités.

La menace reste humaine

Cette étude rappelle une vérité essentielle : derrière les lignes de code et les attaques sophistiquées, il y a des individus, parfois brillants, souvent faillibles. EncryptHub incarne cette réalité : un hacker talentueux mais négligent, qui a su exploiter les outils modernes pour mener des actions complexes, tout en commettant des erreurs basiques.

« La menace n’est pas toujours là où on l’attend. C’est notre rôle, chez Outpost24, de la rendre visible, compréhensible et maîtrisable. » – commente Borja Rodriguez, TI Labs Manager at Outpost24 ,