چارچوب AK47 C2

یک عامل تهدید که اخیراً کشف شده است، با نام Storm-2603، به سوءاستفاده از آسیب‌پذیری‌های امنیتی شناخته‌شده در Microsoft SharePoint Server مرتبط دانسته شده است. گمان می‌رود این گروه در خارج از چین فعالیت می‌کند و از یک چارچوب فرماندهی و کنترل (C2) سفارشی به نام AK47 C2 (که به صورت ak47c2 نیز شناخته می‌شود) برای سازماندهی حملات خود استفاده می‌کند.

پلتفرم AK47 C2 از دو روش ارتباطی اصلی استفاده می‌کند: AK47HTTP (از پروتکل‌های HTTP برای ارتباط C2 استفاده می‌کند) و AK47DNS (از پروتکل‌های DNS برای ارسال دستورات مخفی استفاده می‌کند).

این اجزا به بدافزار کمک می‌کنند تا دستورات را از طریق cmd.exe و بر اساس داده‌های تجزیه‌شده از پاسخ‌های سرور HTTP یا DNS، دریافت و اجرا کند.

بهره‌برداری از نقص‌های مایکروسافت برای حداکثر تأثیرگذاری

Storm-2603 از آسیب‌پذیری‌های SharePoint CVE-2025-49706 و CVE-2025-49704 (که با نام ToolShell نیز شناخته می‌شود) برای نفوذ به شبکه‌ها و استقرار کدهای مخرب استفاده کرده است. در میان این موارد، خانواده‌های باج‌افزاری مانند Warlock (معروف به X2anylock) و LockBit Black، ترکیبی غیرمعمول هستند که معمولاً در بین اپراتورهای اصلی جرایم الکترونیکی مشاهده نمی‌شود.

در یکی از شاخص‌های فنی کلیدی، یک درِ پشتی به نام dnsclient.exe، که بخشی از مجموعه AK47 C2 است، از ارتباط مبتنی بر DNS با یک دامنه جعلی استفاده می‌کند:
update.updatemicfosoft.com، که برای جلوگیری از شناسایی، یک سرور به‌روزرسانی مایکروسافت را تقلید می‌کند.

آرسنال ترکیبی: متن‌باز با بارهای سفارشی ترکیب می‌شود

جعبه ابزار Storm-2603 ترکیبی از نرم‌افزارهای قانونی و بهبودهای مخرب را نشان می‌دهد، از جمله:

ابزارهای پرکاربرد:

• masscan – برای اسکن و شناسایی پورت.
• WinPcap - ابزار ضبط بسته‌های شبکه.
• SharpHostInfo - اطلاعات مبتنی بر میزبان را جمع‌آوری می‌کند.
• nxc و PsExec - ابزارهای اجرای دستورات از راه دور.

افزونه‌های مخرب:

• 7z.exe و 7z.dll: فایل‌های باینری قانونی 7-Zip برای بارگذاری جانبی یک DLL که باج‌افزار Warlock را منتقل می‌کند، مورد سوءاستفاده قرار گرفته‌اند.
• bbb.msi: یک نصب‌کننده که clink_dll_x86.dll را از طریق clink_x86.exe بارگذاری جانبی می‌کند و در نهایت منجر به استقرار LockBit Black می‌شود.

این ابزارها همراه با تکنیک‌های BYOVD (درایور آسیب‌پذیر خود را بیاورید) برای خنثی کردن دفاع‌های نقطه پایانی، همراه با تاکتیک‌های بارگذاری جانبی DLL، استفاده می‌شوند و تشخیص و پاسخ را پیچیده‌تر می‌کنند.

دسترسی جغرافیایی و اهداف پنهان

شواهد نشان می‌دهد که Storm-2603 حداقل از مارس 2025 فعال بوده و نهادهایی را در سراسر آمریکای لاتین و منطقه آسیا و اقیانوسیه (APAC) هدف قرار داده است. استراتژی این گروه در ترکیب خانواده‌های باج‌افزاری و هدف قرار دادن بخش‌های جغرافیایی متنوع، سوالاتی را در مورد اهداف نهایی آن مطرح می‌کند.

اگرچه انگیزه‌های آنها همچنان مبهم است، اما شباهت‌ها با سایر بازیگران دولتی (به‌ویژه از چین، ایران و کره شمالی) که از باج‌افزار در عملیات ژئوپلیتیکی استفاده کرده‌اند، نشان می‌دهد که Storm-2603 ممکن است مرز بین جاسوسی و جرایم با انگیزه مالی را درنوردد.

پیوند APT-criminal: نگرانی فزاینده

Storm-2603 نمونه‌ای از روند رو به رشد عوامل تهدید ترکیبی است، کسانی که تکنیک‌های سنتی تهدید پیشرفته و پایدار (APT) را با عملیات باج‌افزاری ترکیب می‌کنند. تاکتیک‌های قابل توجه عبارتند از:

نکات برجسته تاکتیکی:

• استفاده از ربودن DLL برای ارائه چندین گونه باج‌افزار.
• BYOD برای از بین بردن ابزارهای محافظت از نقاط پایانی.
• اتکا به ابزارهای متن‌باز برای پنهان‌کاری و مقیاس‌پذیری.

استفاده این گروه از زیرساخت یکسان برای میزبانی پوسته‌های وب (مانند spinstall0.aspx) و تسهیل ارتباطات C2، پیچیدگی روزافزون حملات سایبری مدرن را برجسته می‌کند.

عملیات Storm-2603 نشان‌دهنده‌ی تکامل خطرناکی در جرایم سایبری است، جایی که مرزهای مبهم بین جاسوسی تحت حمایت دولت و کمپین‌های بدافزاری سودمحور، انتساب، دفاع و واکنش را به طور قابل توجهی پیچیده‌تر می‌کند.