O ator de ameaça vinculado à exploração das falhas de segurança recentemente divulgadas no Microsoft SharePoint Server está utilizando um framework personalizado de comando e controle (C2) chamado AK47 C2 (também grafado como ak47c2) em suas operações.
O framework inclui pelo menos dois tipos diferentes de clientes, baseados em HTTP e no Sistema de Nomes de Domínio (DNS), que foram apelidados pela Check Point Research de AK47HTTP e AK47DNS, respectivamente.
A atividade foi atribuída a Storm-2603, que, de acordo com a Microsoft, é um suspeito ator de ameaça com base na China que explorou as falhas do SharePoint –
CVE-2025-49706
e
CVE-2025-49704
(também conhecido como ToolShell) – para implantar o ransomware Warlock (também conhecido como X2anylock).
Um cluster de ameaças anteriormente não relatado, evidências coletadas após uma análise de artefatos no VirusTotal mostram que o grupo pode ter sido ativo desde pelo menos março de 2025, implantando famílias de ransomware como LockBit Black e Warlock juntos – algo que não é comumente observado entre grupos estabelecidos de e-crime.
"Com base em dados do VirusTotal, é provável que o Storm-2603 tenha visado algumas organizações na América Latina durante o primeiro semestre de 2025, paralelamente a ataques a organizações na APAC", disse a Check Point.
As ferramentas de ataque utilizadas pelo ator de ameaça incluem utilitários legítimos open-source e do Windows, como masscan, WinPcap, SharpHostInfo, nxc e PsExec, além de um backdoor personalizado ("dnsclient.exe") que utiliza DNS para comando e controle com o domínio "update.updatemicfosoft[.]com".
O backdoor faz parte do framework AK47 C2, ao lado do AK47HTTP, que é empregado para coletar informações do host e analisar respostas DNS ou HTTP do servidor e executá-las na máquina infectada via "cmd.exe".
A via de acesso inicial usada nestes ataques é desconhecida.
Um ponto que vale mencionar aqui é que a infraestrutura supracitada também foi sinalizada pela Microsoft como utilizada pelo ator de ameaça como um servidor C2 para estabelecer comunicação com o web shell "spinstall0.aspx".
Além das ferramentas open-source, o Storm-2603 foi encontrado distribuindo três payloads úteis adicionais:
7z.exe e 7z.dll, o binário legítimo do 7-Zip que é usado para carregar lateralmente um DLL malicioso, que entrega o Warlock
bbb.msi, um instalador que usa clink_x86.exe para carregar lateralmente "clink_dll_x86.dll", o que leva à implantação do LockBit Black
A Check Point disse também que descobriu outro artefato MSI carregado no VirusTotal em abril de 2025 que é utilizado para lançar os ransomwares Warlock e LockBit, e também soltar um executável personalizado de antivírus killer ("VMToolsEng.exe") que emprega a técnica bring your own vulnerable driver (BYOVD) para terminar softwares de segurança usando o ServiceMouse.sys, um driver de terceiros fornecido pelo fornecedor chinês de segurança Antiy Labs.
No final das contas, as exatas motivações do Storm-2603 permanecem incertas nesta fase, tornando mais difícil determinar se é focado em espionagem ou motivado por lucro.
No entanto, vale ressaltar que houve casos em que atores estatais da China, Irã e Coreia do Norte implantaram ransomware secundariamente.
"O Storm-2603 aproveita técnicas BYOVD para desabilitar defesas de endpoints e o sequestro de DLL para implantar múltiplas famílias de ransomware – borrando as linhas entre operações de ransomware criminosas e APT", disse a Check Point.
O grupo também usa ferramentas open-source como PsExec e masscan, sinalizando uma abordagem híbrida vista cada vez mais em ataques sofisticados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...