Ukraiński cyfrowy bohater okazał się cyberprzestępcą. Wsypał go ChatGPT

Przez lata był traktowany jak cyfrowy bohater — specjalista ds. bezpieczeństwa informacji, który z determinacją tropił podatności w oprogramowaniu, w tym w systemie Windows, i zgłaszał je producentom. Teraz okazuje się, że EncryptHub, ukraiński haker znany również pod pseudonimami LARVA-208 i Water Gamayun, prowadził podwójne życie. Oficjalnie łowca luk, nieoficjalnie — twórca złośliwego oprogramowania, cyberprzestępca i autor szeroko zakrojonych ataków. Całą prawdę o jego działalności pomogła ujawnić... sztuczna inteligencja.

Jak wynika z raportu firmy zajmującej się cyberbezpieczeństwem Outpost24, EncryptHub działał przez lata jako tzw. white hat hacker, ujawniając podatności w popularnych systemach i aplikacjach. Swoją wiedzę wykorzystywał do współpracy z międzynarodowymi firmami, w tym z Microsoftem, któremu pomógł w załataniu poważnych luk w systemie Windows (m.in. CVE-2025-24061 i CVE-2025-24071).

EncryptHub pochodzi z Charkowa, lecz po wybuchu wojny w 2015 roku wyemigrował do Rumunii. Tam zdobywał wiedzę z zakresu informatyki poprzez kursy online i próbował dostać się do branży IT. Choć nie udało mu się zdobyć stałej pracy, przez długi czas działał w ramach programów bug bounty, udowadniając swoją skuteczność i etykę pracy.

Przemiana w cyberprzestępcę

Sielanka zakończyła się w 2022 roku. Wtedy wszelka aktywność EncryptHub nagle ustała, a eksperci podejrzewają, że został wówczas zatrzymany. Po odzyskaniu wolności, rozpoczął działalność freelancerską jako twórca stron i aplikacji. To jednak nie przynosiło wystarczających dochodów, dlatego – jak sugeruje Outpost24 – od marca 2024 roku w pełni przeszedł na stronę cyberprzestępców.

EncryptHub szybko zaznaczył swoją obecność na podziemnej scenie. Napisał popularnego stealera „Fickle Stealer” w języku Rust — narzędzie, które stało się hitem wśród cyberprzestępców dzięki skuteczności w omijaniu zabezpieczeń korporacyjnych. Fickle Stealer cieszył się dużym powodzeniem, przewyższając skutecznością konkurentów, takich jak StealC czy Rhadamantys.

Zero-day, backdoory i fałszywe strony

Haker nie poprzestał na tym. W połowie 2024 roku stworzył fałszywą kopię strony popularnego archiwizatora WinRAR, która służyła do dystrybucji malware przez GitHub. W ostatnich tygodniach wykorzystał także lukę typu zero-day w konsoli Microsoft Management Console (CVE-2025-26633, znana jako MSC EvilTwin), by rozpowszechniać trojany kradnące dane i nowe backdoory — SilentPrism oraz DarkWisp.

Z danych zebranych przez Outpost24 wynika, że w ciągu ostatnich dziewięciu miesięcy EncryptHub uzyskał dostęp do ponad 600 systemów należących do firm z różnych branż. „Wszystko wskazuje na to, że za całością stoi jedna osoba” – podkreśla Lidia Lopez, starsza analityczka zagrożeń w Outpost24 – „choć nie możemy wykluczyć, że działał z pomocą innych przestępców.”

ChatGPT — przypadkowy sygnalista

Największym paradoksem w tej historii jest fakt, że haker został zdemaskowany dzięki... samemu sobie. Jak ujawnia Outpost24, EncryptHub intensywnie korzystał z usług ChatGPT — nie tylko do tłumaczenia wiadomości, ale także jako „partnera” w pisaniu złośliwego kodu. Rozmawiał z AI o swoich działaniach, opisując szczegóły ataków i dzieląc się technicznymi niuansami swojej działalności.

To właśnie te rozmowy — nie wiadomo w jaki sposób pozyskane przez analityków — doprowadziły do zidentyfikowania EncryptHub jako cyberprzestępcy. Dodatkowo haker niechcący zainfekował siebie własnym oprogramowaniem, co tylko ułatwiło śledztwo.

Czy to koniec kariery EncryptHub?

Chociaż działalność hakera została w dużej mierze ujawniona, Outpost24 nie informuje, czy EncryptHub został ponownie zatrzymany. Istnieją jednak przesłanki wskazujące, że jego operacje uległy spowolnieniu, a kanały komunikacyjne, z których korzystał, zaczęły znikać.