Сфера Web3 стремительно развивается, открывая новые возможности для децентрализованных приложений и блокчейн-проектов. Однако с ростом этой индустрии увеличивается и количество киберугроз, направленных на разработчиков и пользователей. Одной из активно действующих групп, нацеленных на Web3-разработчиков, является EncryptHub - также известная как LARVA-208 и Water Gamayun. Эта хакерская организация приспособилась к новым реалиям и расширила свои методы атак, применяя поддельные искусственные интеллектуальные платформы для распространения вредоносного ПО с целью кражи информации. EncryptHub получил известность прежде всего благодаря использованию программ-вымогателей, однако последние кампании свидетельствуют об эволюции тактики и расширении способов монетизации.
Вместо исключительно внедрения программ-вымогателей группа стала применять крадучие моли, такие как вредоносное ПО Fickle Stealer, способное похищать критически важные данные из криптокошельков и учетных записей разработчиков Web3. Выбор разработчиков Web3 в качестве мишени не случаен. Эти профессионалы часто обладают доступом к конфиденциальным ресурсам: кошелькам с криптовалютой, репозиториям умных контрактов и тестовым средам с чувствительной информацией. Многие из них работают как фрилансеры или участвуют в нескольких проектах, что вызывает сложности для традиционных систем безопасности крупных корпораций, ориентированных на централизованные инфраструктуры. Децентрализованная структура Web3 легко создает лазейки для злоумышленников, которые стремятся быстро получить выгоду без риска привлечения внимания антитеррористических и правоохранительных структур.
Техническая методика атак EncryptHub начинается с заманивания потенциальных жертв на специально созданные фальшивые AI платформы. В числе таких площадок выделяется Norlax AI, имитирующая популярное приложение Teampilot. Хакеры разрабатывают сценарии, под предлогом предложений о работе или просьбах оценить портфолио, чтобы вызвать интерес у разработчиков и заставить перейти по ссылкам. Использование искусственного интеллекта здесь играет роль психологического рычага, так как AI-сервисы ассоциируются с инновациями и безопасностью. Для достижения своих целей злоумышленники используют различные каналы коммуникации.
Они отправляют приглашения на фиктивные встречи разработчикам, подписанным на контент, связанный с Web3 и блокчейн-технологиями, в таких социальных сетях и мессенджерах как X (бывший Twitter) и Telegram. Помимо этого жертвы получают сообщения с приглашениями на собеседование или обсуждение портфолио через платформу Remote3 — специализированный доска объявлений о вакансиях в области Web3. Интересно, что EncryptHub находит пути обхода предупреждений самой Remote3, которая советует не скачивать неизвестное конференц-программное обеспечение. Первоначальное взаимодействие происходит в безопасной, на первый взгляд, среде Google Meet, после чего злоумышленники предлагают участникам «продолжить интервью» на поддельной платформе Norlax AI. При переходе на фальшивый сайт пользователь просят ввести свой электронный адрес и код приглашения.
Вслед за этим ему показывается ложное сообщение об устаревших или отсутствующих аудиодрайверах, которое подталкивает к загрузке файла, замаскированного под официальный драйвер Realtek HD Audio. На самом деле этот файл содержит вредоносный код, способный через командную оболочку PowerShell загрузить и запустить Fickle Stealer — кражу данных с возможностью извлечения информации из криптокошельков, учетных записей и репозиториев разрабатываемых проектов. Все полученные данные автоматически передаются на управляющий сервер с кодовым названием SilentPrism для дальнейшего использования в преступных целях или продажи на теневых рынках. Эксперты швейцарской компании PRODAFT подчеркивают, что операции EncryptHub — это пример того, как финансово заинтересованные хакеры переориентируются на новые методы извлечения прибыли, делая акцент на сбор ценной информации и учетных данных вместо традиционного вымогательства с помощью программ-вымогателей. Такая диверсификация тактик усложняет защиту пользователей и требует дополнительного внимания со стороны специалистов по кибербезопасности.
В дальнейшем расследования выявили, что EncryptHub расширил методы доставки вредоносного ПО, включая компрометацию цифрового магазина платформы Steam и внедрение зловредных бинарников в игру Chemia. Эта игра заражалась таким образом, что при запуске одновременно с легитимным приложением исполнялся и вредоносный код — Fickle Stealer и вспомогательный Loader, который устанавливал еще одну вредоносную программу Vidar Stealer. Способ внедрения вредоносных компонентов в игру пока остается неясным, но последствия для пользователей критичны, учитывая распространенность Steam и популярность игр среди разработчиков и широкой аудитории. Параллельно с действиями EncryptHub, в напоминание об общем уровне угроз в сфере кибербезопасности, появились сведения о новых программных продукта-хищниках — таких как KAWA4096 и Crux. KAWA4096, появившийся в середине 2025 года, особенен способом шифрования файлов на сетевых ресурсах с использованием многопоточности, что увеличивает скорость выполнения атаки.
Crux, связанный с известной группировкой BlackByte, активен через легитимное использование данных доступа по удаленному рабочему столу и маскирует свои команды под системные процессы Windows svchost.exe и bcdedit.exe, затрудняя обнаружение. Эти случаи свидетельствуют, что совокупность новых угроз требует комплексного подхода, включающего проактивный мониторинг процессов, глубокий анализ поведения программ и обучение пользователей принципам кибергигиены. Особое внимание следует уделять проверке источников программного обеспечения, а также созданию многоуровневой системы защиты учетных данных и цифровых активов.
Для сообщества Web3, уже подверженного рискам из-за своей децентрализованной природы и высокой ценности проектов, угрозы от EncryptHub и других групп хакеров становятся серьезным вызовом. Разработчики должны быть предельно внимательны к уведомлениям о фишинговых попытках, проверять подлинность коммуникаций и не переходить по подозрительным ссылкам. В дополнение, компании и платформы кейтерингующие индустрию Web3 должны инвестировать в разработку специальных защитных решений, способных обнаруживать поддельные AI-инструменты и предотвращать распространение вредоносного ПО. Общая картина современных тенденций в киберугрозах указывает на все более изощренные методы самообмана и социального инжиниринга. Использование поддельных AI платформ показывает, что злоумышленники активно идут в ногу с технологическим прогрессом и используют тренды для маскировки своих действий.
Такая ситуация требует от всех участников рынка Web3 и кибербезопасности быть на шаг впереди противников, инвестировать в образование и инновации для защиты цифровых экосистем. В итоге, рост числа атак из серии EncryptHub — это сигнал для сообщества Web3 о необходимости повышения уровня осведомленности и защиты как индивидуальных разработчиков, так и инфраструктурных провайдеров. Только совместные усилия смогут обеспечить безопасность и устойчивость децентрализованных технологий в современном цифровом мире.
