Bedreigingsactoren maken misbruik van Velociraptor, een open-source tool voor digitaal forensisch onderzoek en incidentrespons (DFIR), in verband met ransomware-aanvallen die waarschijnlijk zijn georkestreerd door Storm-2603 (ook bekend als CL-CRI-1040 of Gold Salem), dat bekend staat om de inzet van de Warlock- en LockBit-ransomware.
Het gebruik van het beveiligingshulpprogramma door de bedreigingsacteur werd vorige maand door Sophos gedocumenteerd. Er wordt vastgesteld dat de aanvallers de lokale SharePoint-kwetsbaarheden, bekend als ToolShell, hebben bewapend om initiële toegang te verkrijgen en een verouderde versie van Velociraptor (versie 0.73.4.0) te leveren die vatbaar is voor een privilege-escalatiekwetsbaarheid (CVE-2025-6264) om willekeurige opdrachtuitvoering en eindpuntovername mogelijk te maken, volgens Cisco Talos.
Bij de aanval medio augustus 2025 zouden de bedreigingsactoren pogingen hebben ondernomen om de bevoegdheden te escaleren door domeinbeheerdersaccounts aan te maken en zich lateraal binnen de gecompromitteerde omgeving te bewegen, en door gebruik te maken van de toegang om tools als Smbexec uit te voeren om op afstand programma’s te starten met behulp van het SMB-protocol.
Voorafgaand aan de data-exfiltratie en het verwijderen van Warlock, LockBit en Babuk bleek de tegenstander Active Directory (AD) Group Policy Objects (GPO’s) te wijzigen, de realtime bescherming uit te schakelen om met de systeemverdediging te knoeien en detectie te omzeilen. De bevindingen markeren de eerste keer dat Storm-2603 in verband wordt gebracht met de inzet van de Babuk-ransomware.
Rapid7, dat Velociraptor onderhoudt na de overname in 2021, vertelde eerder aan The Hacker News dat het zich bewust is van het misbruik van de tool, en dat deze ook kan worden misbruikt als deze in verkeerde handen komt, net als andere beveiligings- en administratieve tools.
“Dit gedrag weerspiegelt eerder een misbruikpatroon dan een softwarefout: tegenstanders hergebruiken eenvoudigweg legitieme verzamel- en orkestratiemogelijkheden”, zei Christiaan Beek, senior directeur dreigingsanalyse bij Rapid7, in reactie op de laatst gerapporteerde aanvallen.
Volgens Halcyon wordt aangenomen dat Storm-2603 enige connecties deelt met Chinese natiestaten vanwege de vroege toegang tot de ToolShell-exploit en de opkomst van nieuwe voorbeelden die professionele ontwikkelingspraktijken vertonen die consistent zijn met geavanceerde hackgroepen.
De ransomware-ploeg, die voor het eerst opdook in juni 2025, gebruikt LockBit sindsdien zowel als operationeel hulpmiddel als als ontwikkelingsbasis. Het is vermeldenswaard dat Warlock de laatste partner was die zich bij het LockBit-programma registreerde onder de naam “wlteaml” voordat LockBit een maand eerder een datalek kreeg.
“Warlock was vanaf het begin van plan om meerdere ransomwarefamilies in te zetten om de toeschrijving te verwarren, detectie te omzeilen en de impact te versnellen”, aldus het bedrijf. “Warlock demonstreert de discipline, middelen en toegang die kenmerkend zijn voor op de natiestaat gerichte bedreigingsactoren, en niet voor opportunistische ransomware-ploegen.”
Halcyon wees ook op de 48-uur durende ontwikkelingscycli van de bedreigingsacteur voor het toevoegen van functies, die een weerspiegeling zijn van gestructureerde teamworkflows. Deze gecentraliseerde, georganiseerde projectstructuur suggereert een team met specifieke infrastructuur en tools, voegde het eraan toe.
Andere opmerkelijke aspecten die banden met door de Chinese staat gesponsorde actoren suggereren, zijn onder meer:
- Gebruik van operationele beveiligingsmaatregelen (OPSEC), zoals gestripte tijdstempels en opzettelijk beschadigde vervalmechanismen
- De compilatie van ransomware-payloads tussen 22:58 en 22:59 uur China Standard Time en deze de volgende ochtend om 01:55 uur in een kwaadaardig installatieprogramma verpakt
- Consistente contactinformatie en gedeelde, verkeerd gespelde domeinen in Warlock-, LockBit- en Babuk-implementaties, wat duidt op samenhangende command-and-control (C2)-operaties en niet op opportunistisch hergebruik van de infrastructuur
Een dieper onderzoek van de ontwikkelingstijdlijn van Storm-2603 heeft aan het licht gebracht dat de bedreigingsacteur in maart 2025 de infrastructuur voor het AK47 C2-framework heeft opgezet en vervolgens de volgende maand het eerste prototype van de tool heeft gemaakt. In april schakelde het binnen een tijdsbestek van 48 uur ook over van de implementatie van alleen LockBit naar een dubbele LockBit/Warlock-implementatie.
Hoewel het zich vervolgens registreerde als een LockBit-filiaal, werd er verder gewerkt aan zijn eigen ransomware totdat deze in juni formeel werd gelanceerd onder de merknaam Warlock. Weken later werd waargenomen dat de bedreigingsacteur de ToolShell-exploit als een zero-day gebruikte, terwijl hij vanaf 21 juli 2025 ook de Babuk-ransomware implementeerde.
“De snelle evolutie van de groep in april van de implementatie van alleen LockBit 3.0 naar een multi-ransomware-implementatie 48 uur later, gevolgd door de Babuk-implementatie in juli, toont operationele flexibiliteit, mogelijkheden om detectie te ontwijken, tactieken voor attributieverwarring en geavanceerde bouwexpertise met behulp van gelekte en open source ransomware-frameworks”, aldus Halcyon.
