El actor de amenaza vinculado a la explotación de los defectos de seguridad recientemente revelados en el servidor de Microsoft SharePoint está utilizando un situación de comando y control (C2) a medida llamado AK47 C2 (todavía deletreado AK47C2) en sus operaciones.
El situación incluye al menos dos tipos diferentes de clientes, basado en HTTP y del sistema de nombres de dominio (DNS), que se han denominado AK47HTTP y AK47DNS, respectivamente, por Check Point Research.
La actividad se ha atribuido a Storm-2603, que, según Microsoft, es un supuesto actor de amenazas con sede en China que ha utilizado las fallas de SharePoint-CVE-2025-49706 y CVE-2025-49704 (todavía conocido como Hoolshell)-para desplegar Warlock (aka x2ananlock) con el cáncer.
Un clan de amenazas previamente no manifiesto, evidencia reunida a posteriori de un prospección de artefactos virustotales muestra que el clan puede tener estado activo desde al menos en marzo de 2025, desplegando familias de ransomware como Lockbit Black y Warlock, poco que no se observa comúnmente entre los grupos de delitos electrónicos establecidos.
“Según los datos virustotales, Storm-2603 probablemente se dirigió a algunas organizaciones en América Latina durante la primera porción de 2025, en paralelo a las organizaciones de ataque en APAC”, dijo Check Point.
Las herramientas de ataque utilizadas por el actor de amenazas incluyen utilidades legítimas de código hendido y Windows como MassCan, WinPCAP, Sharphostinfo, NXC y PSEXEC, así como una puerta trasera personalizada (“Dnsclient.exe”) que usa DNS para comando y control con el dominio “updatemicfosoft (.) Com.”)
La puerta trasera es parte del situación AK47 C2, inmediato con AK47HTTP, que se emplea para compilar información del host y analizar las respuestas DNS o HTTP del servidor y ejecutarlas en la máquina infectada a través de “CMD.EXE”. Se desconoce la vía de camino auténtico utilizada en estos ataques.
Un punto que vale la pena mencionar aquí es que la infraestructura ayer mencionada todavía fue marcada por Microsoft, según lo utilizado por el actor de amenaza como servidor C2 para establecer la comunicación con el shell web “SpinStall0.aspx”. Encima de las herramientas de código hendido, se ha incompatible que Storm-2603 distribuye tres cargas bártulos adicionales-
- 7Z.EXE y 7Z.DLL, el legal binario de 7 zip que se usa para marcar una dll maliciosa, que ofrece brujo
- bbb.msi, un instalador que usa CLINK_X86.EXE para Sideload “CLINK_DLL_X86.DLL”, que conduce a la implementación de Lockbit Black
Check Point dijo que todavía descubrió otro artefacto de MSI cargado a Virustotal en abril de 2025 que se usa para divulgar Warlock y Lockbit Ransomware, y todavía suelta un ejecutable de perverso antivirus personalizado (“vmtoolseng.exe”) que emplea al regulador de seguridad de Servicio de Seguridad de Traer su propio regulador delicado (BYOVD).
En última instancia, las motivaciones exactas de Storm-2603 siguen sin estar claras en esta etapa, lo que hace que sea más difícil determinar si está centrado o impulsado por los motivos de ganancias. Sin confiscación, es importante señalar que ha habido casos en los que los actores de estado-nación de China, Irán y Corea del Septentrión han desplegado ransomware a un flanco.
“Tendemos a evaluar que es un actor motivado financieramente, pero con esto, no podemos excluir la opción de que este es un actor de doble motivación, tanto espionaje como motivado financieramente”, dijo Sergey Shykevich, regente del clan de inteligencia de amenazas en Check Point, The Hacker News.
“Storm-2603 aprovecha las técnicas de BYOVD para deshabilitar las defensas de los puntos finales y el secuestro de DLL para implementar múltiples familias de ransomware, difuminando las líneas entre las operaciones de ransomware APT y criminal”, agregó Check Point. “El clan todavía utiliza herramientas de código hendido como PSEXEC y MASSCAN, lo que indica un enfoque híbrido pasado cada vez más en ataques sofisticados”.
