Rámec AK47 C2

Nedávno odhalený útočník identifikovaný jako Storm-2603 byl spojován se zneužíváním známých bezpečnostních zranitelností v serveru Microsoft SharePoint Server. Tato skupina pravděpodobně působí z Číny a k organizaci svých útoků využívá vlastní systém Command-and-Control (C2) s názvem AK47 C2 (také stylizovaný jako ak47c2).

Platforma AK47 C2 využívá dvě primární komunikační metody: AK47HTTP (využívá protokoly HTTP pro komunikaci C2) a AK47DNS (využívá protokoly DNS pro skryté doručování příkazů).

Tyto komponenty pomáhají malwaru přijímat a provádět příkazy na infikovaných systémech prostřednictvím cmd.exe na základě dat analyzovaných z odpovědí HTTP nebo DNS serveru.

Využívání chyb Microsoftu pro maximální dopad

Storm-2603 využil zranitelnosti SharePointu CVE-2025-49706 a CVE-2025-49704 (známé také jako ToolShell) k narušení sítí a rozmístění škodlivých dat. Mezi nimi jsou především rodiny ransomwaru jako Warlock (známý také jako X2anylock) a LockBit Black, což je neobvyklá kombinace, která se u běžných operátorů elektronické kriminality obvykle nevyskytuje.

Jedním z klíčových technických ukazatelů je backdoor s názvem dnsclient.exe, součást sady AK47 C2, který používá komunikaci založenou na DNS s falešnou doménou:
update.updatemicfosoft.com, napodobující server Microsoft Update, aby se vyhnul detekci.

Hybridní arzenál: Open-source se setkává s vlastními užitečnými zatíženími

Sada nástrojů Storm-2603 představuje kombinaci legitimního softwaru a škodlivých vylepšení, včetně:

Běžně používané nástroje:

• masscan – Pro skenování a průzkum portů.
• WinPcap – nástroj pro zachytávání síťových paketů.
• SharpHostInfo – Shromažďuje informace o hostiteli.
• nxc a PsExec – nástroje pro vzdálené spouštění příkazů.

Škodlivé doplňky:

• 7z.exe a 7z.dll: Legitimní binární soubory 7-Zip zneužívané k načtení DLL, která doručuje ransomware Warlock.
• bbb.msi: Instalační program, který načítá soubor clink_dll_x86.dll prostřednictvím souboru clink_x86.exe, což nakonec vede k nasazení LockBit Black.

Tyto nástroje se používají ve spojení s technikami BYOVD (Bring Your Own Vulnerable Driver) k neutralizaci obrany koncových bodů, spolu s taktikami sideloadingu DLL, což dále komplikuje detekci a reakci.

Geografický dosah a nejasné cíle

Důkazy naznačují, že Storm-2603 je aktivní nejméně od března 2025 a cílí na subjekty v Latinské Americe a asijsko-pacifickém regionu (APAC). Strategie skupiny kombinovat rodiny ransomwaru a cílit na různá geografická odvětví vyvolává otázky ohledně jejích konečných cílů.

Ačkoli jejich motivace zůstávají nejasné, paralely s jinými aktéry národních států (zejména z Číny, Íránu a Severní Koreje), kteří použili ransomware v geopolitických operacích, naznačují, že Storm-2603 by se mohl nacházet na hranici mezi špionáží a finančně motivovanou kriminalitou.

Propojení APT s trestní činností: Rostoucí obavy

Storm-2603 je příkladem rostoucího trendu hybridních hrozeb, tedy těch, kteří kombinují tradiční techniky pokročilých perzistentních hrozeb (APT) s ransomwarovými operacemi. Za zmínku stojí tyto taktiky:

Taktické přednosti:

• Využití únosu DLL k doručení více kmenů ransomwaru.
• BYOVD zruší nástroje na ochranu koncových bodů.
• Spoléhání se na nástroje s otevřeným zdrojovým kódem pro nenápadnost a škálovatelnost.

Využívání stejné infrastruktury skupinou pro hostování webových shellů (jako je spinstall0.aspx) a usnadnění komunikace C2 podtrhuje rostoucí sofistikovanost moderních kybernetických útoků.

Operace Storm-2603 odhalují nebezpečný vývoj v kyberkriminalitě, kde rozmazané hranice mezi státem sponzorovanou špionáží a ziskem zaměřenými kampaněmi malwaru výrazně ztěžují atribuci, obranu a reakci.