Une OPSEC défaillante met à nu une opération bien huilée
EncryptHub a laissé fuiter involontairement des éléments critiques de son infrastructure, permettant aux analystes de KrakenLabs de lever le voile sur une chaîne d’attaque complexe en plusieurs étapes, articulée autour de scripts PowerShell, de chargements HTML, et du déploiement du logiciel malveillant Rhadamanthys.
Parmi les données exposées :
● Des répertoires de scripts malveillants,
● Des logs volés directement hébergés en ligne,
● Et des bots Telegram utilisés pour l’exfiltration de données.

Une kill chain sur-mesure, en constante évolution
Depuis le 13 février 2025, EncryptHub emploie une nouvelle version de sa kill chain :
1. payload.ps1 : vol de données système, mots de passe, portefeuilles crypto, cookies, etc.
2. runner.ps1 : exécution de fichiers MSC pour contourner les protections.
3. HTML Loader : désactivation de Windows Defender et déploiement de scripts secondaires.
4. ram.ps1 : installation de Rhadamanthys, un puissant stealer.

Chaque phase montre une attention particulière à l’obfuscation, l’exfiltration furtive et l’automatisation.

EncryptRAT : un produit en cours de développement, bientôt disponible à la vente ?
Parallèlement, EncryptHub développe EncryptRAT, un outil d’accès à distance (RAT) avec interface de commande centralisée. Ses fonctionnalités :
● Gestion des infections et des logs,
● Prise en charge multi-utilisateurs,
● Configuration d’échantillons de malwares et de canaux d’exfiltration.

Tout laisse penser qu’EncryptHub prévoit de monétiser cette solution dans un avenir proche, en s’alignant sur les standards SaaS des cybercriminels modernes.
Des applications populaires trojanisées pour maximiser la portée
EncryptHub cible les utilisateurs en diffusant de fausses versions d’applications populaires :
WeChat, DingTalk, Visual Studio 2022, Google Meet, Palo Alto GlobalProtect…

Ces fichiers, distribués entre novembre 2024 et janvier 2025, portaient des certificats frauduleux (HOA SEN HA NAM puis Encrypthub LLC) et embarquaient des scripts capables de collecter et exfiltrer des données sensibles dès l’installation.

Des campagnes boostées par des services tiers automatisés
Depuis janvier 2025, EncryptHub utilise LabInstalls, une plateforme clandestine PPI (pay-per-install) qui automatise la diffusion de scripts PowerShell et de fichiers malveillants via un bot Telegram (@labInstalls_bot). Le groupe a même publié un témoignage de satisfaction sur un forum russophone (XSS), confirmant son recours à ce service pour élargir sa portée.

Un appel à la vigilance pour les entreprises
Cette enquête souligne le danger croissant d’acteurs agiles, réactifs et motivés par l’argent, capables d’adapter leurs tactiques au fil des découvertes de la communauté cybersécurité. Les failles d’EncryptHub rappellent l’importance de la surveillance proactive, des défenses multicouches et de la veille sur le dark web.