AK47 C2-rammeverk

En nylig avdekket trusselaktør, identifisert som Storm-2603, har blitt knyttet til utnyttelse av kjente sikkerhetssårbarheter i Microsoft SharePoint Server. Denne gruppen mistenkes å operere fra Kina og bruker et tilpasset kommando-og-kontroll-rammeverk (C2) kalt AK47 C2 (også stilisert som ak47c2) for å orkestrere angrepene sine.

AK47 C2-plattformen benytter to primære kommunikasjonsmetoder: AK47HTTP (benytter HTTP-protokoller for C2-kommunikasjon) og AK47DNS (benytter DNS-protokoller for levering av skjulte kommandoer).

Disse komponentene hjelper skadevaren med å motta og utføre kommandoer på infiserte systemer via cmd.exe, basert på data analysert fra HTTP- eller DNS-serversvar.

Utnytte Microsofts feil for maksimal effekt

Storm-2603 har utnyttet SharePoint-sårbarhetene CVE-2025-49706 og CVE-2025-49704 (også kjent som ToolShell) som våpen for å bryte seg inn i nettverk og distribuere skadelige nyttelaster. De viktigste blant disse er ransomware-familier som Warlock (også kjent som X2anylock) og LockBit Black, en uvanlig kombinasjon som vanligvis ikke observeres blant vanlige e-kriminalitetsoperatører.

I en av de viktigste tekniske indikatorene bruker en bakdør kalt dnsclient.exe, en del av AK47 C2-pakken, DNS-basert kommunikasjon med et forfalsket domene:
update.updatemicfosoft.com, som etterligner en Microsoft-oppdateringsserver for å unngå å bli oppdaget.

Hybrid Arsenal: Åpen kildekode møter tilpassede nyttelaster

Storm-2603s verktøysett demonstrerer en blanding av legitim programvare og skadelige forbedringer, inkludert:

Vanlig brukte verktøy:

• masscan – For havneskanning og rekognosering.
• WinPcap – Verktøy for å fange opp nettverkspakker.
• SharpHostInfo – Samler inn vertsbasert informasjon.
• nxc og PsExec – Verktøy for fjernutførelse av kommandoer.

Ondsinnede tillegg:

• 7z.exe og 7z.dll: Legitime 7-Zip-binærfiler utnyttet til å sidelaste en DLL som leverer Warlock-ransomware.
• bbb.msi: Et installasjonsprogram som sidelaster clink_dll_x86.dll via clink_x86.exe, noe som til slutt resulterer i LockBit Black-distribusjon.

Disse verktøyene brukes sammen med BYOVD-teknikker (Bring Your Own Vulnerable Driver) for å nøytralisere endepunktforsvar, sammen med DLL-sidelastingstaktikker, noe som ytterligere kompliserer deteksjon og respons.

Geografisk rekkevidde og skyggefulle mål

Bevis tyder på at Storm-2603 har vært aktiv siden minst mars 2025, og har rettet seg mot enheter i Latin-Amerika og Asia-Stillehavsregionen (APAC). Gruppens strategi med å kombinere ransomware-familier og målrette ulike geografiske sektorer reiser spørsmål om dens endelige mål.

Selv om motivasjonene deres fortsatt er uklare, tyder paralleller med andre nasjonalstatsaktører (særlig fra Kina, Iran og Nord-Korea) som har brukt løsepengevirus i geopolitiske operasjoner på at Storm-2603 kan befinde seg på grensen mellom spionasje og økonomisk motivert kriminalitet.

Forholdet mellom APT og kriminelle: En økende bekymring

Storm-2603 er et eksempel på en økende trend med hybride trusselaktører, de som blander tradisjonelle APT-teknikker (Advanced Persistent Threat) med ransomware-operasjoner. Bemerkelsesverdige taktikker inkluderer:

Taktiske høydepunkter:

• Bruk av DLL-kapring for å levere flere ransomware-stammer.
• BYOVD skal demontere verktøy for endepunktbeskyttelse.
• Avhengighet av åpen kildekode-verktøy for stealth og skalerbarhet.

Gruppens bruk av den samme infrastrukturen for å hoste web-shells (som spinstall0.aspx) og legge til rette for C2-kommunikasjon understreker den økende sofistikasjonen av moderne cyberangrep.

Storm-2603s operasjoner avslører en farlig utvikling innen nettkriminalitet, der uskarpe linjer mellom statsstøttet spionasje og profittdrevne skadevarekampanjer gjør attribusjon, forsvar og respons betydelig mer komplekse.