Los actores de amenazas están explotando Velociraptor, una herramienta forense digital y respuesta a incidentes (DFIR) de código abierto, en relación con ataques de ransomware que se cree que fueron orquestados por Storm-2603 (también conocido como CL-CRI-1040 o Gold Salem), conocido por implementar ransomware Warlock y LockBit.
Sophos documentó el uso de utilidades de seguridad por parte de actores de amenazas el mes pasado. Según Cisco Talos, se considera que los atacantes obtuvieron acceso inicial aprovechando una vulnerabilidad de SharePoint local conocida como ToolShell para entregar una versión anterior de Velociraptor (versión 0.73.4.0) que es susceptible a una vulnerabilidad de elevación de privilegios (CVE-2025-6264), lo que les permite ejecutar comandos arbitrarios y apoderarse de puntos finales.
En el ataque de mediados de agosto de 2025, los atacantes supuestamente crearon una cuenta de administrador de dominio e intentaron escalar privilegios moviéndose lateralmente dentro del entorno comprometido, además de aprovechar el acceso para ejecutar herramientas como Smbexec para iniciar programas de forma remota utilizando el protocolo SMB.
Antes de filtrar datos y eliminar Warlock, LockBit y Babuk, se ha descubierto que los atacantes modifican los objetos de política de grupo (GPO) de Active Directory (AD) para desactivar la protección en tiempo real y manipular las defensas del sistema para evadir la detección. Estos hallazgos son los primeros que vinculan Storm-2603 con las implementaciones de ransomware Babuk.
Rapid7, que mantiene Velociraptor después de adquirirlo en 2021, dijo anteriormente a The Hacker News que es consciente del abuso de la herramienta y, como cualquier herramienta de seguridad o gestión, puede explotarse en las manos equivocadas.
«Este comportamiento refleja un patrón de explotación más que una falla de software. Los atacantes simplemente están reutilizando capacidades legítimas de recopilación y orquestación», dijo Christiaan Beek, director senior de análisis de amenazas de Rapid7, en respuesta a los ataques reportados recientemente.
Según Halcyon, se cree que Storm-2603 tiene algunos vínculos con atacantes de estados-nación chinos debido al acceso temprano al exploit ToolShell y la aparición de nuevas muestras que exhiben técnicas de desarrollo de nivel profesional consistentes con grupos de piratería avanzados.
El colectivo de ransomware, que surgió por primera vez en junio de 2025, ha estado utilizando LockBit como herramienta operativa y plataforma de desarrollo desde entonces. Vale la pena señalar que Warlock fue el último afiliado registrado en el esquema LockBit bajo el nombre «wlteaml» antes de que LockBit sufriera una violación de datos hace un mes.
«Desde el principio, Warlock planeó implementar múltiples familias de ransomware para confundir la atribución, evadir la detección y acelerar el impacto», dijo la compañía. «Warlock demuestra la disciplina, los recursos y el acceso que son característicos de un actor de amenazas alineado con el Estado-nación en lugar de un grupo de ransomware oportunista».
Halcyon también señaló que los atacantes dedican ciclos de desarrollo de 48 horas a agregar funcionalidades, lo que refleja un flujo de trabajo de equipo estructurado. Agregó que esta estructura de proyecto centralizada y organizada sugiere un equipo con infraestructura y herramientas dedicadas.
Otros aspectos notables que sugieren conexiones con actores patrocinados por el estado chino incluyen:
Uso de medidas de seguridad operativa (OPSEC), como eliminación de marcas de tiempo y mecanismos de caducidad dañados intencionalmente. Compile la carga útil del ransomware entre las 22:58 y las 22:59, hora estándar de China, y empaquetela en un instalador malicioso a la 01:55 de la mañana siguiente. Comparta información de contacto consistente y dominios mal escritos en implementaciones de Warlock, LockBit y Babuk para garantizar operaciones consistentes de comando y control (C2) Infraestructura no oportunista reutilizar
Una mirada más cercana al cronograma de desarrollo de Storm-2603 revela que los atacantes establecieron la infraestructura para el marco AK47 C2 en marzo de 2025 y crearon el primer prototipo de la herramienta el mes siguiente. En abril, pasamos de una implementación exclusiva de LockBit a una implementación dual de LockBit/Warlock en 48 horas.
Posteriormente, la empresa se registró como filial de LockBit, pero continuó desarrollando su propio ransomware hasta su lanzamiento oficial bajo la marca Warlock en junio. Unas semanas más tarde, también se observó que este atacante implementaba el ransomware Babuk a partir del 21 de julio de 2025, aprovechando un exploit de ToolShell en un ataque de día cero.
«La rápida evolución del grupo desde una implementación de LockBit 3.0 únicamente en abril a una implementación de múltiples ransomware 48 horas después, seguida por la implementación de Babak en julio, demuestra la sofisticada experiencia del creador en flexibilidad operativa, capacidades de evasión, tácticas de confusión de atributos y marcos de ransomware de código abierto filtrados», dijo Halcyon.
Source link
