Los actores de amenaza recientemente revelados relacionados con la explotación de fallas de seguridad utilizaron un marco de comando y control a medida (C2) llamado AK47 C2 (también deletreado AK47C2).
Este marco incluye al menos dos tipos diferentes de clientes, basado en HTTP y del sistema de dominio (DNS), que se denominan AK47HTTP y AK47DNS, respectivamente, mediante la investigación del punto de control.
Esta actividad se atribuye a Storm-2603, y según Microsoft, implementará actores de amenaza con sede en China CVE-2025-49706 y CVE-2025-49704 (también conocido como Hoolshell)-Ransomware Warlock (también conocido como X2Anylock), que aprovecha las más de alta forma.
La evidencia recopilada después del análisis de los artefactos virustotales, un clúster de amenazas previamente no declarado, indica que pueden haber desplegado familias de ransomware como Lockbit Black y Warlock desde al menos marzo de 2025.
«Basado en los datos virustotales, Storm-2603 puede haber atacado a algunas organizaciones latinoamericanas durante la primera mitad de 2025, junto con la organización de ataque APAC», dijo Check Point.
Las herramientas de ataque utilizadas por los actores de amenaza incluyen código abierto legítimo y utilidades de Windows como Masscan, WinPCAP, Sharphostinfo, NXC y PSEXEC.
Las puertas traseras son parte del marco AK47 C2, y se usan junto con AK47HTTP para recopilar información de host, analizar las respuestas DNS o HTTP de los servidores, y ejecutarlas en máquinas infectadas a través de «CMD.EXE». Se desconoce la ruta de acceso inicial utilizada en estos ataques.
Un punto que vale la pena mencionar aquí es que la infraestructura mencionada anteriormente fue marcada por Microsoft, ya que los actores de amenazas lo utilizan como servidores C2 para establecer la comunicación con el shell web «SpinStall0.aspx». Además de las herramientas de código abierto, se sabe que Storm -2603 distribuye tres cargas útiles adicionales –
7z.exe y 7z.dll, un legal binarios de 7 zip utilizados para marcar dlls maliciosas, entregando Warlock Bbb.msi.
Según Checkpoint, se descubrió otro artefacto de MSI en abril de 2025, que se cargó a Virustotal, con otro artefacto MSI utilizado para lanzar Warlock y Lockbit Ransomware, y también eliminó un agente viral personalizado de agente de seguridad ejecutable («VMToolSeng.Exe») que emplea su propio controlador vulnerable (BYOVD) técnica para usar el software de seguridad utilizando el controlador de seguridad del servicio. Laboratorio.
En última instancia, la motivación exacta para la Tormenta-2603 sigue siendo desconocida en esta etapa, lo que dificulta determinar si se centra en los espías o impulsada por motivos de ganancias. Sin embargo, esto se centra en los casos en que personas de China, Irán y Corea del Norte desplegaron ransomware uno al lado del otro.
«El Storm-2603 aprovecha la técnica BYOVD para deshabilitar las defensas de los puntos finales, secuestrando el secuestro para implementar múltiples familias de ransomware. Desduza la línea entre las operaciones de resalte apt y criminales», dijo Check Point. «El grupo también utiliza herramientas de código abierto como PSEXEC y MASSCAN, lo que demuestra un enfoque híbrido que se ve cada vez más en ataques avanzados».
Source link
