El actor de amenaza vinculado a la explotaci贸n de los defectos de seguridad recientemente revelados en el servidor de Microsoft SharePoint est谩 utilizando un marco de comando y control (C2) a medida llamado AK47 C2 (tambi茅n deletreado AK47C2) en sus operaciones.
El marco incluye al menos dos tipos diferentes de clientes, basado en HTTP y del sistema de nombres de dominio (DNS), que se han denominado AK47HTTP y AK47DNS, respectivamente, por Check Point Research.
La actividad se ha atribuido a Storm-2603, que, seg煤n Microsoft, es un presunto actor de amenazas con sede en China que ha aprovechado las fallas de SharePoint-CVE-2025-49706 y CVE-2025-49704 (tambi茅n conocido como Hoolshell)-para desplegar Warlock (aka x2ankanlock) con el c谩ncer.
Un grupo de amenazas previamente no declarado, evidencia reunida despu茅s de un an谩lisis de artefactos virustotales muestra que el grupo puede haber estado activo desde al menos en marzo de 2025, desplegando familias de ransomware como Lockbit Black y Warlock, algo que no se observa com煤nmente entre los grupos de delitos electr贸nicos establecidos.
芦Seg煤n los datos virustotales, Storm-2603 probablemente se dirigi贸 a algunas organizaciones en Am茅rica Latina durante la primera mitad de 2025, en paralelo a las organizaciones de ataque en APAC禄, dijo Check Point.
Las herramientas de ataque utilizadas por el actor de amenazas incluyen utilidades leg铆timas de c贸digo abierto y Windows como MassCan, WinPCAP, Sharphostinfo, NXC y PSEXEC, as铆 como una puerta trasera personalizada (芦Dnsclient.exe禄) que usa DNS para comando y control con el dominio 芦updatemicfosoft (.) Com.禄)
La puerta trasera es parte del marco AK47 C2, junto con AK47HTTP, que se emplea para recopilar informaci贸n del host y analizar las respuestas DNS o HTTP del servidor y ejecutarlas en la m谩quina infectada a trav茅s de 芦CMD.EXE禄. Se desconoce la v铆a de acceso inicial utilizada en estos ataques.
Un punto que vale la pena mencionar aqu铆 es que la infraestructura antes mencionada tambi茅n fue marcada por Microsoft, seg煤n lo utilizado por el actor de amenaza como servidor C2 para establecer la comunicaci贸n con el shell web 芦SpinStall0.aspx禄. Adem谩s de las herramientas de c贸digo abierto, se ha encontrado que Storm-2603 distribuye tres cargas 煤tiles adicionales-
- 7Z.EXE y 7Z.DLL, el leg铆timo binario de 7 zip que se usa para marcar una dll maliciosa, que ofrece brujo
- bbb.msi, un instalador que usa CLINK_X86.EXE para Sideload 芦CLINK_DLL_X86.DLL禄, que conduce a la implementaci贸n de Lockbit Black
Check Point dijo que tambi茅n descubri贸 otro artefacto de MSI cargado a Virustotal en abril de 2025 que se usa para lanzar Warlock y Lockbit Ransomware, y tambi茅n suelta un ejecutable de asesino antivirus personalizado (芦vmtoolseng.exe禄) que emplea al controlador de seguridad de Servicio de Seguridad de Traer su propio controlador vulnerable (BYOVD).
En 煤ltima instancia, las motivaciones exactas de Storm-2603 siguen sin estar claras en esta etapa, lo que hace que sea m谩s dif铆cil determinar si est谩 centrado o impulsado por los motivos de ganancias. Sin embargo, es importante se帽alar que ha habido casos en los que los actores de estado-naci贸n de China, Ir谩n y Corea del Norte han desplegado ransomware a un lado.
芦Storm-2603 aprovecha las t茅cnicas de BYOVD para deshabilitar las defensas de los puntos finales y el secuestro de DLL para desplegar m煤ltiples familias de ransomware, difuminando las l铆neas entre las operaciones de ransomware APT y criminal禄, dijo Check Point. 芦El grupo tambi茅n utiliza herramientas de c贸digo abierto como PSEXEC y MASSCAN, lo que indica un enfoque h铆brido visto cada vez m谩s en ataques sofisticados禄.
