El actor de amenaza vinculado a la explotación de los defectos de seguridad recientemente revelados en el servidor de Microsoft SharePoint está utilizando un situación de comando y control (C2) a medida llamado AK47 C2 (además deletreado AK47C2) en sus operaciones.
El situación incluye al menos dos tipos diferentes de clientes, basado en HTTP y del sistema de nombres de dominio (DNS), que se han denominado AK47HTTP y AK47DNS, respectivamente, por Check Point Research.
La actividad se ha atribuido a Storm-2603, que, según Microsoft, es un supuesto actor de amenazas con sede en China que ha utilizado las fallas de SharePoint-CVE-2025-49706 y CVE-2025-49704 (además conocido como Hoolshell)-para desplegar Warlock (aka x2ankanlock) con el cáncer.
Un montón de amenazas previamente no manifiesto, evidencia reunida a posteriori de un disección de artefactos virustotales muestra que el montón puede favor estado activo desde al menos en marzo de 2025, desplegando familias de ransomware como Lockbit Black y Warlock, poco que no se observa comúnmente entre los grupos de delitos electrónicos establecidos.
«Según los datos virustotales, Storm-2603 probablemente se dirigió a algunas organizaciones en América Latina durante la primera medio de 2025, en paralelo a las organizaciones de ataque en APAC», dijo Check Point.
Las herramientas de ataque utilizadas por el actor de amenazas incluyen utilidades legítimas de código extenso y Windows como MassCan, WinPCAP, Sharphostinfo, NXC y PSEXEC, así como una puerta trasera personalizada («Dnsclient.exe») que usa DNS para comando y control con el dominio «updatemicfosoft (.) Com.»)
La puerta trasera es parte del situación AK47 C2, adjunto con AK47HTTP, que se emplea para compilar información del host y analizar las respuestas DNS o HTTP del servidor y ejecutarlas en la máquina infectada a través de «CMD.EXE». Se desconoce la vía de camino auténtico utilizada en estos ataques.
Un punto que vale la pena mencionar aquí es que la infraestructura antaño mencionada además fue marcada por Microsoft, según lo utilizado por el actor de amenaza como servidor C2 para establecer la comunicación con el shell web «SpinStall0.aspx». Por otra parte de las herramientas de código extenso, se ha contrario que Storm-2603 distribuye tres cargas efectos adicionales-
- 7Z.EXE y 7Z.DLL, el permitido binario de 7 zip que se usa para marcar una dll maliciosa, que ofrece brujo
- bbb.msi, un instalador que usa CLINK_X86.EXE para Sideload «CLINK_DLL_X86.DLL», que conduce a la implementación de Lockbit Black
Check Point dijo que además descubrió otro artefacto de MSI cargado a Virustotal en abril de 2025 que se usa para difundir Warlock y Lockbit Ransomware, y además suelta un ejecutable de maligno antivirus personalizado («vmtoolseng.exe») que emplea al compensador de seguridad de Servicio de Seguridad de Traer su propio compensador desvalido (BYOVD).
En última instancia, las motivaciones exactas de Storm-2603 siguen sin estar claras en esta etapa, lo que hace que sea más difícil determinar si está centrado o impulsado por los motivos de ganancias. Sin requisa, es importante señalar que ha habido casos en los que los actores de estado-nación de China, Irán y Corea del Finalidad han desplegado ransomware a un flanco.
«Storm-2603 aprovecha las técnicas de BYOVD para deshabilitar las defensas de los puntos finales y el secuestro de DLL para desplegar múltiples familias de ransomware, difuminando las líneas entre las operaciones de ransomware APT y criminal», dijo Check Point. «El montón además utiliza herramientas de código extenso como PSEXEC y MASSCAN, lo que indica un enfoque híbrido manido cada vez más en ataques sofisticados».
