Los sitios de phishing están alojados en proveedores de alojamiento a prueba de balas como Yalishand. Una vez obtenido el acceso, EncryptHub procede a ejecutar los scripts de PowerShell que conducen al despliegue de malware robador como Fickle, StealC y Rhadamanthys. El objetivo final de los ataques en la mayoría de los casos es entregar ransomware y exigir un rescate.

Uno de los otros métodos comunes adoptados por los agentes de amenazas se refiere al uso de aplicaciones troyanas disfrazadas de software legítimo para el acceso inicial. Estas incluyen versiones falsificadas de QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 y Palo Alto Global Protect.

Estas aplicaciones atrapadas por botín, una vez instaladas, desencadenan un proceso multietapa que actúa como vehículo de entrega para cargas útiles en la fase posterior como Kematian Stealer para facilitar el robo de galletas.

La compañía dijo a The Hacker News que el grupo de spear-phishing está afiliado a los grupos de ransomware RansomHub y Blacksuit y ha estado usando tácticas avanzadas de ingeniería social para comprometer más de 618 objetivos de alto valor en múltiples industrias en los últimos nueve meses.

«El actor usualmente crea un sitio de phishing que apunta a la organización para obtener las credenciales VPN de la víctima», dijo PRODAFT. «A continuación, se llama a la víctima y se le pide que introduzca los detalles de la víctima en el sitio de phishing para cuestiones técnicas, haciéndose pasar por un equipo de TI o asistente. Si el ataque contra la víctima no es una llamada sino un mensaje de texto SMS directo, se usa un enlace falso de Microsoft Teams para convencer a la víctima».

Al menos desde el 2 de enero de 2025, un componente crucial de la cadena de distribución de EncryptHub ha sido el uso de un servicio PPI de terceros llamado LabInstalls, que facilita las instalaciones de malware a granel para pagar a los clientes a partir de $10 (100 cargas) a $450 (10.000 cargas). «EncryptHub confirmó que era su cliente al dejar retroalimentación positiva en LabInstalls vendiendo hilo en el foro underground de habla rusa XSS de primer nivel, incluso incluyendo una captura de pantalla que evidencia el uso del servicio», dijo Outpost24.

PRODAFT, una empresa suiza de ciberseguridad, ha confirmado que el grupo detrás de EncryptHub está vinculado a los operadores de ransomware como RansomHub y Blacksuit, y se sospecha que el grupo también está utilizando tácticas de ingeniería social avanzadas para engañar a víctimas de alto valor en diversas industrias. A medida que EncryptHub sigue evolucionando y ajustando sus tácticas de ataque, la necesidad de medidas de seguridad proactivas y monitoreo constante se vuelve aún más crítica. Las organizaciones deben adoptar estrategias de seguridad en capas para mitigar los riesgos que plantea este actor de amenaza, que continúa buscando nuevas formas de explotar vulnerabilidades para maximizar sus beneficios.

Los expertos en ciberseguridad aconsejan a las empresas y usuarios que mantengan un nivel alto de vigilancia, implementando controles de seguridad como la autenticación multifactorial y capacitación en seguridad para prevenir caer en ataques de phishing. Además, es fundamental que las organizaciones cuenten con sistemas de detección y respuesta ante incidentes (EDR) para identificar y neutralizar posibles amenazas a tiempo.