Los actores de amenazas están abusando de Velociraptor, una utensilio forense digital y respuesta a incidentes (DFIR) de código franco, en relación con ataques de ransomware probablemente orquestados por Storm-2603 (asimismo conocido como CL-CRI-1040 o Gold Salem), que es conocido por implementar el ransomware Warlock y LockBit.
Sophos documentó el uso de la utilidad de seguridad por parte del actor de amenazas el mes pasado. Se evalúa que los atacantes utilizaron como armamento las vulnerabilidades locales de SharePoint conocidas como ToolShell para obtener acercamiento original y entregar una lectura desactualizada de Velociraptor (lectura 0.73.4.0) que es susceptible a una vulnerabilidad de ascenso de privilegios (CVE-2025-6264) para permitir la ejecución de comandos arbitrarios y la toma de control de puntos finales, según Cisco Talos.
En el ataque de mediados de agosto de 2025, se dice que los actores de la amenaza intentaron ascender privilegios creando cuentas de administrador de dominio y moviéndose lateralmente interiormente del entorno comprometido, encima de exprimir el acercamiento para ejecutar herramientas como Smbexec para iniciar programas de forma remota utilizando el protocolo SMB.
Ayer de la filtración de datos y la matanza de Warlock, LockBit y Babuk, se descubrió que el adversario modificaba los objetos de política de asociación (GPO) de Active Directory (AD), desactivaba la protección en tiempo actual para alterar las defensas del sistema y evadía la detección. Los hallazgos marcan la primera vez que Storm-2603 se vincula con la implementación del ransomware Babuk.
Rapid7, que mantiene Velociraptor luego de adquirirlo en 2021, le dijo anteriormente a The Hacker News que es consciente del mal uso de la utensilio y que asimismo se puede explotar de ella cuando está en las manos equivocadas, al igual que otras herramientas administrativas y de seguridad.
“Este comportamiento refleja un patrón de uso indebido en puesto de una falta de software: los adversarios simplemente reutilizan capacidades legítimas de resumen y orquestación”, dijo Christiaan Beek, director senior de observación de amenazas de Rapid7, en respuesta a los últimos ataques reportados.
Según Halcyon, se cree que Storm-2603 comparte algunas conexiones con actores estatales-nación chinos conveniente a su acercamiento temprano al exploit ToolShell y la aparición de nuevas muestras que exhiben prácticas de mejora de nivel profesional consistentes con grupos de hackers sofisticados.
El asociación de ransomware, que surgió por primera vez en junio de 2025, ha utilizado desde entonces LockBit como utensilio operativa y cojín de mejora. Vale la pena señalar que Warlock fue el postrer afiliado registrado en el esquema LockBit bajo el nombre “wlteaml” antiguamente de que LockBit sufriera una filtración de datos un mes antiguamente.
“Warlock planeó desde el principio implementar múltiples familias de ransomware para confundir la atribución, esquivar la detección y acelerar el impacto”, dijo la compañía. “Warlock demuestra la disciplina, los medios y el acercamiento característicos de los actores de amenazas alineados con los estados-nación, no de los equipos oportunistas de ransomware”.
Halcyon asimismo señaló los ciclos de mejora de 48 horas del actor de amenazas para juntar funciones, lo que refleja los flujos de trabajo estructurados del equipo. Esta estructura de tesina centralizada y organizada sugiere un equipo con infraestructura y herramientas dedicadas, agregó.
Otros aspectos notables que sugieren vínculos con actores patrocinados por el estado chino incluyen:
- Uso de medidas de seguridad operativa (OPSEC), como marcas de tiempo eliminadas y mecanismos de vencimiento corruptos intencionalmente
- La compilación de cargas enseres de ransomware entre las 22:58 y las 22:59, hora tipificado de China, y su empaquetado en un instalador solapado a la 01:55 de la mañana posterior.
- Información de contacto consistente y dominios compartidos y mal escritos en las implementaciones de Warlock, LockBit y Babuk, lo que sugiere operaciones cohesivas de comando y control (C2) y no una reutilización oportunista de la infraestructura.
Un examen más profundo del cronograma de mejora de Storm-2603 descubrió que el actor de amenazas estableció la infraestructura para el ámbito AK47 C2 en marzo de 2025 y luego creó el primer prototipo de la utensilio el mes posterior. En abril, asimismo pasó de la implementación monopolio de LockBit a la implementación dual de LockBit/Warlock en un espacio de 48 horas.
Si correctamente luego se registró como afiliado de LockBit, el trabajo continuó en su propio ransomware hasta que se lanzó formalmente bajo la marca Warlock en junio. Semanas más tarde, se observó que el actor de amenazas aprovechaba el exploit ToolShell como día cero y al mismo tiempo implementaba el ransomware Babuk a partir del 21 de julio de 2025.
“La rápida transformación del asociación en abril desde la implementación de LockBit 3.0 solamente a una implementación de múltiples ransomware 48 horas luego, seguida por la implementación de Babuk en julio, muestra flexibilidad operativa, capacidades de diversión de detección, tácticas de confusión de atribuciones y experiencia sofisticada de los constructores que utilizan marcos de ransomware de código franco y filtrados”, dijo Halcyon.
