Estrutura AK47 C2

Um agente de ameaça recentemente descoberto, identificado como Storm-2603, foi associado à exploração de vulnerabilidades de segurança conhecidas no Microsoft SharePoint Server. Suspeita-se que esse grupo opere na China e utilize uma estrutura personalizada de Comando e Controle (C2) denominada AK47 C2 (também estilizada como ak47c2) para orquestrar seus ataques.

A plataforma AK47 C2 emprega dois métodos principais de comunicação: AK47HTTP (utiliza protocolos HTTP para comunicação C2) e AK47DNS (utiliza protocolos DNS para entrega secreta de comandos).

Esses componentes ajudam o malware a receber e executar comandos em sistemas infectados via cmd.exe, com base em dados analisados de respostas de servidores HTTP ou DNS.

Explorando falhas da Microsoft para obter o máximo impacto

A Storm-2603 utilizou as vulnerabilidades do SharePoint CVE-2025-49706 e CVE-2025-49704 (também conhecidas como ToolShell) como armas para invadir redes e implantar payloads maliciosos. Entre elas, destacam-se as famílias de ransomware Warlock (também conhecido como X2anylock) e LockBit Black, uma combinação incomum, não comumente observada entre os principais operadores de crimes eletrônicos.

Em um dos principais indicadores técnicos, um backdoor chamado dnsclient.exe, parte do pacote AK47 C2, usa comunicação baseada em DNS com um domínio falsificado:
update.updatemicfosoft.com, imitando um servidor de atualização da Microsoft para evitar a detecção.

Arsenal Híbrido: Código Aberto Encontra Cargas Úteis Personalizadas

O kit de ferramentas do Storm-2603 demonstra uma mistura de software legítimo e melhorias maliciosas, incluindo:

Utilitários comumente usados:

• masscan – Para varredura e reconhecimento de portas.
• WinPcap – Ferramenta de captura de pacotes de rede.
• SharpHostInfo – Reúne informações baseadas em host.
• nxc e PsExec – Ferramentas de execução remota de comandos.

Adições maliciosas:

• 7z.exe e 7z.dll: binários legítimos do 7-Zip explorados para fazer sideload de uma DLL que entrega o ransomware Warlock.
• bbb.msi: Um instalador que carrega lateralmente clink_dll_x86.dll via clink_x86.exe, resultando na implantação do LockBit Black.

Essas ferramentas são usadas em conjunto com técnicas BYOVD (Traga seu próprio driver vulnerável) para neutralizar as defesas de endpoint, juntamente com táticas de carregamento lateral de DLL, complicando ainda mais a detecção e a resposta.

Alcance geográfico e objetivos obscuros

Evidências sugerem que a Storm-2603 está ativa desde pelo menos março de 2025, visando entidades na América Latina e na região da Ásia-Pacífico (APAC). A estratégia do grupo de combinar famílias de ransomware e atingir diversos setores geográficos levanta questões sobre seus objetivos finais.

Embora suas motivações permaneçam obscuras, paralelos com outros atores estatais-nação (notadamente da China, Irã e Coreia do Norte) que empregaram ransomware em operações geopolíticas sugerem que a Storm-2603 pode estar na linha entre espionagem e crimes com motivação financeira.

O nexo APT-Criminal: uma preocupação crescente

A tempestade 2603 exemplifica uma tendência crescente de agentes de ameaças híbridas, aqueles que combinam técnicas tradicionais de Ameaça Persistente Avançada (APT) com operações de ransomware. Táticas dignas de nota incluem:

Destaques táticos:

• Uso de sequestro de DLL para distribuir diversas cepas de ransomware.
• BYOVD para desmantelar ferramentas de proteção de endpoint.
• Dependência de ferramentas de código aberto para discrição e escalabilidade.

O uso da mesma infraestrutura pelo grupo para hospedar shells da web (como spinstall0.aspx) e facilitar comunicações C2 ressalta a sofisticação crescente dos ataques cibernéticos modernos.

As operações da Storm-2603 revelam uma evolução perigosa no crime cibernético, onde linhas tênues entre espionagem patrocinada pelo estado e campanhas de malware com fins lucrativos tornam a atribuição, a defesa e a resposta significativamente mais complexas.