Cadru AK47 C2

Un actor de amenințare recent descoperit, identificat drept Storm-2603, a fost asociat cu exploatarea unor vulnerabilități de securitate cunoscute în Microsoft SharePoint Server. Se suspectează că acest grup operează din China și folosește un framework personalizat de comandă și control (C2) numit AK47 C2 (stilizat și ca ak47c2) pentru a-și orchestra atacurile.

Platforma AK47 C2 utilizează două metode principale de comunicare: AK47HTTP (utilizează protocoale HTTP pentru comunicarea C2) și AK47DNS (folosește protocoalele DNS pentru livrarea comenzilor sub acoperire).

Aceste componente ajută malware-ul să primească și să execute comenzi pe sistemele infectate prin cmd.exe, pe baza datelor analizate din răspunsurile serverului HTTP sau DNS.

Exploatarea defectelor Microsoft pentru impact maxim

Storm-2603 a folosit ca armă vulnerabilitățile SharePoint CVE-2025-49706 și CVE-2025-49704 (cunoscută și sub numele de ToolShell) pentru a sparge rețele și a implementa sarcini utile rău intenționate. Printre acestea se numără familiile de ransomware precum Warlock (cunoscut și sub numele de X2anylock) și LockBit Black, o combinație neobișnuită care nu se observă de obicei în rândul operatorilor mainstream de e-crimă.

Într-unul dintre indicatorii tehnici cheie, un backdoor numit dnsclient.exe, parte a suitei AK47 C2, folosește comunicare bazată pe DNS cu un domeniu fals:
update.updatemicfosoft.com, imitând un server de actualizare Microsoft pentru a evita detectarea.

Arsenal hibrid: Open-Source întâlnește sarcini utile personalizate

Setul de instrumente Storm-2603 demonstrează o combinație de software legitim și îmbunătățiri malițioase, inclusiv:

Utilitare utilizate în mod obișnuit:

• massscan – Pentru scanarea și recunoașterea porturilor.
• WinPcap – Instrument de captare a pachetelor de rețea.
• SharpHostInfo – Colectează informații bazate pe gazdă.
• nxc și PsExec – Instrumente de execuție a comenzilor la distanță.

Adăugări rău intenționate:

• 7z.exe și 7z.dll: Fișiere binare legitime 7-Zip exploatate pentru a încărca lateral un DLL care livrează ransomware-ul Warlock.
• bbb.msi: Un program de instalare care încarcă lateral clink_dll_x86.dll prin intermediul clink_x86.exe, rezultând în cele din urmă implementarea LockBit Black.

Aceste instrumente sunt utilizate împreună cu tehnicile BYOVD (Bring Your Own Vulnerable Driver) pentru a neutraliza apărarea la nivelul endpoint-urilor, împreună cu tacticile de încărcare laterală DLL, complicând și mai mult detectarea și răspunsul.

Acoperire geografică și obiective incerte

Dovezile sugerează că Storm-2603 este activ cel puțin din martie 2025, vizând entități din America Latină și regiunea Asia-Pacific (APAC). Strategia grupului de a combina familii de ransomware și de a viza diverse sectoare geografice ridică semne de întrebare cu privire la obiectivele sale finale.

Deși motivațiile lor rămân neclare, paralelele cu alți actori statali (în special din China, Iran și Coreea de Nord) care au folosit ransomware în operațiuni geopolitice sugerează că Storm-2603 s-ar putea afla la granița dintre spionaj și infracțiuni motivate financiar.

Nexusul APT-Infracțiuni: O Îngrijorare Creștetoare

Storm-2603 exemplifică o tendință crescândă a actorilor de amenințare hibridă, cei care combină tehnicile tradiționale de tip Advanced Persistent Threat (APT) cu operațiuni ransomware. Printre tacticile notabile se numără:

Aspecte tactice importante:

• Utilizarea deturnării DLL pentru a distribui mai multe tulpini de ransomware.
• BYOVD va demonta instrumentele de protecție a terminalelor.
• Dependența de instrumente open-source pentru ascundere și scalabilitate.

Utilizarea de către grup a aceleiași infrastructuri pentru găzduirea de shell-uri web (cum ar fi spininstall0.aspx) și facilitarea comunicațiilor C2 subliniază sofisticarea tot mai mare a atacurilor cibernetice moderne.

Operațiunile Storm-2603 dezvăluie o evoluție periculoasă în criminalitatea cibernetică, unde liniile neclare dintre spionajul sponsorizat de stat și campaniile de malware cu scop lucrativ fac atribuirea, apărarea și răspunsul semnificativ mai complexe.