Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware AK47 C2-framework

AK47 C2-framework

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Een onlangs ontdekte dreigingsactor, geïdentificeerd als Storm-2603, is in verband gebracht met het misbruiken van bekende beveiligingslekken in Microsoft SharePoint Server. Deze groep opereert vermoedelijk vanuit China en gebruikt een speciaal Command-and-Control (C2)-framework genaamd AK47 C2 (ook wel bekend als ak47c2) om zijn aanvallen te orkestreren.

Het AK47 C2-platform maakt gebruik van twee primaire communicatiemethoden: AK47HTTP (maakt gebruik van HTTP-protocollen voor C2-communicatie) en AK47DNS (maakt gebruik van DNS-protocollen voor geheime opdrachtoverdracht).

Deze componenten helpen de malware bij het ontvangen en uitvoeren van opdrachten op geïnfecteerde systemen via cmd.exe, op basis van gegevens die zijn geparseerd uit HTTP- of DNS-serverreacties.

Microsoft-fouten uitbuiten voor maximale impact

Storm-2603 heeft de SharePoint-kwetsbaarheden CVE-2025-49706 en CVE-2025-49704 (ook bekend als ToolShell) als wapen ingezet om netwerken te infiltreren en kwaadaardige payloads te verspreiden. De belangrijkste hiervan zijn ransomware-families zoals Warlock (ook bekend als X2anylock) en LockBit Black, een ongebruikelijke combinatie die niet vaak wordt aangetroffen bij reguliere e-crime-operators.

In een van de belangrijkste technische indicatoren maakt een backdoor met de naam dnsclient.exe, onderdeel van de AK47 C2-suite, gebruik van DNS-gebaseerde communicatie met een vervalst domein:
update.updatemicfosoft.com, dat een Microsoft-updateserver nabootst om detectie te omzeilen.

Hybride arsenaal: open source ontmoet aangepaste payloads

De toolkit van Storm-2603 bevat een combinatie van legitieme software en kwaadaardige verbeteringen, waaronder:

Veelgebruikte hulpprogramma's:

  • masscan – Voor het scannen en verkennen van poorten.
  • WinPcap – Hulpmiddel voor het vastleggen van netwerkpakketten.
  • SharpHostInfo – Verzamelt hostgebaseerde informatie.
  • nxc en PsExec – Hulpmiddelen voor het op afstand uitvoeren van opdrachten.

Kwaadaardige toevoegingen:

  • 7z.exe en 7z.dll: Legitieme 7-Zip-binaries die worden misbruikt om een DLL te sideloaden die Warlock-ransomware verspreidt.
  • bbb.msi: Een installatieprogramma dat clink_dll_x86.dll sideloadt via clink_x86.exe, wat uiteindelijk resulteert in de implementatie van LockBit Black.

Deze hulpmiddelen worden gebruikt in combinatie met BYOVD-technieken (Bring Your Own Vulnerable Driver) om de eindpuntverdediging te neutraliseren, samen met DLL-sideloadingtactieken, waardoor detectie en reactie nog ingewikkelder worden.

Geografisch bereik en duistere doelstellingen

Er zijn aanwijzingen dat Storm-2603 al sinds minstens maart 2025 actief is en zich richt op entiteiten in Latijns-Amerika en de regio Azië-Pacific (APAC). De strategie van de groep om ransomwarefamilies te combineren en zich te richten op diverse geografische sectoren, roept vragen op over de uiteindelijke doelen.

Hoewel hun motieven onduidelijk blijven, suggereren parallellen met andere nationale actoren (vooral uit China, Iran en Noord-Korea) die ransomware hebben ingezet bij geopolitieke operaties, dat Storm-2603 zich op de grens tussen spionage en financieel gemotiveerde misdaad bevindt.

De APT-criminele nexus: een groeiende zorg

Storm-2603 is een voorbeeld van een groeiende trend van hybride dreigingsactoren, die traditionele Advanced Persistent Threat (APT)-technieken combineren met ransomware-operaties. Opvallende tactieken zijn onder andere:

Tactische hoogtepunten:

  • Gebruik van DLL-kaping om meerdere ransomware-varianten te verspreiden.
  • BYOVD gaat endpoint protection tools ontmantelen.
  • Vertrouwen op open-sourcetools voor stealth en schaalbaarheid.

Het feit dat de groep dezelfde infrastructuur gebruikt voor het hosten van web shells (zoals spinstall0.aspx) en het faciliteren van C2-communicatie onderstreept de toenemende verfijning van hedendaagse cyberaanvallen.

De activiteiten van Storm-2603 laten een gevaarlijke evolutie in cybercriminaliteit zien, waarbij de grenzen tussen door staten gesponsorde spionage en op winst gerichte malware-campagnes vervagen en toeschrijving, verdediging en reactie aanzienlijk complexer maken.

Trending

Meest bekeken

Bezig met laden...