Framework AK47 C2
Un autore di minacce scoperto di recente, identificato come Storm-2603, è stato collegato allo sfruttamento di vulnerabilità di sicurezza note in Microsoft SharePoint Server. Si sospetta che questo gruppo operi dalla Cina e utilizzi un framework di comando e controllo (C2) personalizzato denominato AK47 C2 (anche stilizzato come ak47c2) per orchestrare i suoi attacchi.
La piattaforma AK47 C2 impiega due metodi di comunicazione principali: AK47HTTP (utilizza i protocolli HTTP per la comunicazione C2) e AK47DNS (sfrutta i protocolli DNS per la trasmissione di comandi nascosti).
Questi componenti aiutano il malware a ricevere ed eseguire comandi sui sistemi infetti tramite cmd.exe, in base ai dati analizzati dalle risposte del server HTTP o DNS.
Sommario
Sfruttare le falle di Microsoft per ottenere il massimo impatto
Storm-2603 ha sfruttato le vulnerabilità di SharePoint CVE-2025-49706 e CVE-2025-49704 (noto anche come ToolShell) per violare le reti e distribuire payload dannosi. Tra questi, spiccano famiglie di ransomware come Warlock (noto anche come X2anylock) e LockBit Black, una combinazione insolita e non tipicamente osservata tra i principali operatori di criminalità informatica.
In uno degli indicatori tecnici chiave, una backdoor denominata dnsclient.exe, parte della suite AK47 C2, utilizza la comunicazione basata su DNS con un dominio falsificato:
update.updatemicfosoft.com, che imita un server di aggiornamento Microsoft per eludere il rilevamento.
Arsenale ibrido: l’open source incontra i payload personalizzati
Il toolkit di Storm-2603 presenta una combinazione di software legittimo e miglioramenti dannosi, tra cui:
Utilità comunemente utilizzate:
- masscan – Per la scansione delle porte e la ricognizione.
- WinPcap – Strumento di cattura dei pacchetti di rete.
- SharpHostInfo – Raccoglie informazioni basate sull'host.
- nxc e PsExec: strumenti per l'esecuzione di comandi remoti.
Aggiunte dannose:
- 7z.exe e 7z.dll: file binari 7-Zip legittimi sfruttati per caricare lateralmente una DLL che diffonde il ransomware Warlock.
- bbb.msi: un programma di installazione che carica lateralmente clink_dll_x86.dll tramite clink_x86.exe, determinando infine la distribuzione di LockBit Black.
Questi strumenti vengono utilizzati insieme alle tecniche BYOVD (Bring Your Own Vulnerable Driver) per neutralizzare le difese degli endpoint, insieme alle tattiche di sideloading DLL, complicando ulteriormente il rilevamento e la risposta.
Portata geografica e obiettivi oscuri
Le prove suggeriscono che Storm-2603 sia attivo almeno da marzo 2025, prendendo di mira entità in America Latina e nella regione Asia-Pacifico (APAC). La strategia del gruppo di combinare famiglie di ransomware e colpire diversi settori geografici solleva interrogativi sui suoi obiettivi finali.
Sebbene le loro motivazioni rimangano poco chiare, i parallelismi con altri attori statali (in particolare Cina, Iran e Corea del Nord) che hanno utilizzato il ransomware in operazioni geopolitiche suggeriscono che Storm-2603 potrebbe essere a metà strada tra spionaggio e crimine motivato da interessi finanziari.
Il nesso tra APT e criminalità: una preoccupazione crescente
Storm-2603 esemplifica una tendenza crescente degli autori di minacce ibride, che combinano le tradizionali tecniche di minacce persistenti avanzate (APT) con operazioni ransomware. Tra le tattiche degne di nota figurano:
Punti salienti tattici:
- Utilizzo del dirottamento DLL per diffondere più ceppi di ransomware.
- BYOVD per smantellare gli strumenti di protezione degli endpoint.
- Affidamento a strumenti open source per furtività e scalabilità.
L'utilizzo da parte del gruppo della stessa infrastruttura per ospitare web shell (come spinstall0.aspx) e facilitare le comunicazioni C2 sottolinea la crescente sofisticatezza degli attacchi informatici moderni.
Le operazioni di Storm-2603 rivelano una pericolosa evoluzione della criminalità informatica, in cui la linea di demarcazione tra spionaggio sponsorizzato dallo Stato e campagne malware a scopo di lucro rende l'attribuzione, la difesa e la risposta notevolmente più complesse.
