De dreigingsacteur gekoppeld aan de exploitatie van de onlangs bekendgemaakte beveiligingsfouten in Microsoft SharePoint Server gebruikt een op maat gemaakte command-and-control (C2) framework genaamd AK47 C2 (Ook AK47C2 gespeld) in zijn activiteiten.
Het framework omvat ten minste twee verschillende soorten clients, op HTTP gebaseerd en Domain Name System (DNS) gebaseerd, die respectievelijk AK47HTTP en AK47DNS zijn genoemd door Check Point Research.
De activiteit is toegeschreven aan Storm-2603, die volgens Microsoft een vermoedelijke in China gevestigde dreigingsacteur is die de SharePoint Flaws heeft gebruikt-CVE-2025-49706 en CVE-2015-49704 (aka Toolshell)-om Warlock (AKA X2anylock) Ransomware te implementeren.
Een eerder niet-gerapporteerde dreigingscluster, bewijsmateriaal dat is verzameld na een analyse van virustotale artefacten, toont aan dat de groep mogelijk actief is sinds minstens maart 2025, waarbij ransomware-families zoals Lockbit Black en Warlock samen worden toegepast-iets dat niet vaak wordt waargenomen bij gevestigde e-misdaadgroepen.
“Gebaseerd op Virustotal-gegevens, was Storm-2603 waarschijnlijk gericht op sommige organisaties in Latijns-Amerika gedurende de eerste helft van 2025, parallel aan aanvallende organisaties in APAC,” zei Check Point.
De aanvalshulpmiddelen die door de dreigingsacteur worden gebruikt, omvatten legitieme open-source en Windows-hulpprogramma’s zoals MassCan, Winpcap, SharphostInfo, NXC en PSEXEC, evenals een aangepaste backdoor (“dnsclient.exe”) die DNS gebruikt voor command-and-control met het domein “update.updatemfosoft (.) Com.” Com. “Com.”
De achterdeur maakt deel uit van het AK47 C2 -framework, naast AK47HTTP, dat wordt gebruikt om hostinformatie te verzamelen en DNS- of HTTP -antwoorden van de server te parseren en ze op de geïnfecteerde machine uit te voeren via “CMD.EXE.” Het eerste toegangspad dat bij deze aanvallen wordt gebruikt, is onbekend.
Een punt dat hier het vermelden waard is, is dat de bovengenoemde infrastructuur ook door Microsoft werd gemarkeerd, zoals gebruikt door de dreigingsacteur als een C2 -server om communicatie met de webshell “spinStall0.aspx” te vestigen. Naast de open-source tools is Storm-2603 gevonden om drie extra payloads te verspreiden-
- 7z.exe en 7z.dll, het legitieme binair 7-zip dat wordt gebruikt om een kwaadwillende DLL te sideload, die Warlock levert
- bbb.msi, een installatieprogramma dat clink_x86.exe gebruikt om “clink_dll_x86.dll” sideload te sideload
Check Point zei dat het ook een ander MSI-artefact ontdekte dat in april 2025 naar Virustotal werd geüpload dat wordt gebruikt om Warlock en Lockbit Ransomware te lanceren, en ook een aangepast Antivirus Killer uitvoerbaar uitvoerbaar te laten vallen (“VMToolSeng.exe”) die de Chinese Beveiligingssoftware voor de Chinese Beveiligingssoftware heeft aangeboden, een derhoevende Antiy. Labs.
Uiteindelijk blijven de exacte motivaties van Storm-2603 in dit stadium onduidelijk, waardoor het moeilijker wordt om te bepalen of het spionagegericht is of aangedreven door winstmotieven. Het merkt echter op dat er gevallen zijn geweest waarin natiestatenactoren uit China, Iran en Noord-Korea ransomware aan de zijkant hebben ingezet.
“Storm-2603 maakt gebruik van BYOVD-technieken om eindpuntverdedigingen en DLL-kaping uit te schakelen om meerdere ransomware-families te implementeren-de lijnen te vervagen tussen APT en criminele ransomware-operaties,” zei Check Point. “De groep maakt ook gebruik van open-source tools zoals PSEXEC en MassCan, wat een hybride benadering aangeeft die in toenemende mate geavanceerde aanvallen wordt gezien.”
