El actor de amenaza vinculado a la explotación de los defectos de seguridad recientemente revelados en el servidor de Microsoft SharePoint está utilizando un marco de comando y control (C2) a medida llamado AK47 C2 (también deletreado AK47C2) en sus operaciones.
El marco incluye al menos dos tipos diferentes de clientes, basado en HTTP y del sistema de nombres de dominio (DNS), que se han denominado AK47HTTP y AK47DNS, respectivamente, por Check Point Research.
La actividad se ha atribuido a Storm-2603, que, según Microsoft, es un presunto actor de amenazas con sede en China que ha aprovechado las fallas de SharePoint-CVE-2025-49706 y CVE-2025-49704 (también conocido como Hoolshell)-para desplegar Warlock (aka x2ananlock) con el cáncer.
Un grupo de amenazas previamente no declarado, evidencia reunida después de un análisis de artefactos virustotales muestra que el grupo puede haber estado activo desde al menos en marzo de 2025, desplegando familias de ransomware como Lockbit Black y Warlock, algo que no se observa comúnmente entre los grupos de delitos electrónicos establecidos.
«Según los datos virustotales, Storm-2603 probablemente se dirigió a algunas organizaciones en América Latina durante la primera mitad de 2025, en paralelo a las organizaciones de ataque en APAC», dijo Check Point.
Las herramientas de ataque utilizadas por el actor de amenazas incluyen utilidades legítimas de código abierto y Windows como MassCan, WinPCAP, Sharphostinfo, NXC y PSEXEC, así como una puerta trasera personalizada («Dnsclient.exe») que usa DNS para comando y control con el dominio «updatemicfosoft (.) Com.»)
La puerta trasera es parte del marco AK47 C2, junto con AK47HTTP, que se emplea para recopilar información del host y analizar las respuestas DNS o HTTP del servidor y ejecutarlas en la máquina infectada a través de «CMD.EXE». Se desconoce la vía de acceso inicial utilizada en estos ataques.
Un punto que vale la pena mencionar aquí es que la infraestructura antes mencionada también fue marcada por Microsoft, según lo utilizado por el actor de amenaza como servidor C2 para establecer la comunicación con el shell web «SpinStall0.aspx». Además de las herramientas de código abierto, se ha encontrado que Storm-2603 distribuye tres cargas útiles adicionales-
- 7Z.EXE y 7Z.DLL, el legítimo binario de 7 zip que se usa para marcar una dll maliciosa, que ofrece brujo
- bbb.msi, un instalador que usa CLINK_X86.EXE para Sideload «CLINK_DLL_X86.DLL», que conduce a la implementación de Lockbit Black
Check Point dijo que también descubrió otro artefacto de MSI cargado a Virustotal en abril de 2025 que se usa para lanzar Warlock y Lockbit Ransomware, y también suelta un ejecutable de asesino antivirus personalizado («vmtoolseng.exe») que emplea al controlador de seguridad de Servicio de Seguridad de Traer su propio controlador vulnerable (BYOVD).
En última instancia, las motivaciones exactas de Storm-2603 siguen sin estar claras en esta etapa, lo que hace que sea más difícil determinar si está centrado o impulsado por los motivos de ganancias. Sin embargo, es importante señalar que ha habido casos en los que los actores de estado-nación de China, Irán y Corea del Norte han desplegado ransomware a un lado.
«Tendemos a evaluar que es un actor motivado financieramente, pero con esto, no podemos excluir la opción de que este es un actor de doble motivación, tanto espionaje como motivado financieramente», dijo Sergey Shykevich, gerente del grupo de inteligencia de amenazas en Check Point, The Hacker News.
«Storm-2603 aprovecha las técnicas de BYOVD para deshabilitar las defensas de los puntos finales y el secuestro de DLL para implementar múltiples familias de ransomware, difuminando las líneas entre las operaciones de ransomware APT y criminal», agregó Check Point. «El grupo también utiliza herramientas de código abierto como PSEXEC y MASSCAN, lo que indica un enfoque híbrido visto cada vez más en ataques sofisticados».