AK47 C2-ramverk

En nyligen avslöjad hotaktör, identifierad som Storm-2603, har kopplats till utnyttjandet av kända säkerhetsbrister i Microsoft SharePoint Server. Denna grupp misstänks operera från Kina och använder ett anpassat kommando-och-kontrollramverk (C2) kallat AK47 C2 (även stiliserat som ak47c2) för att orkestrera sina attacker.

AK47 C2-plattformen använder två primära kommunikationsmetoder: AK47HTTP (använder HTTP-protokoll för C2-kommunikation) och AK47DNS (utnyttjar DNS-protokoll för leverans av hemliga kommandon).

Dessa komponenter hjälper skadlig kod att ta emot och utföra kommandon på infekterade system via cmd.exe, baserat på data som analyserats från HTTP- eller DNS-serversvar.

Utnyttja Microsofts brister för maximal effekt

Storm-2603 har utnyttjat SharePoint-sårbarheterna CVE-2025-49706 och CVE-2025-49704 (även kända som ToolShell) som ett vapen för att bryta sig in i nätverk och distribuera skadliga nyttolaster. Främst bland dessa är ransomware-familjer som Warlock (även kända som X2anylock) och LockBit Black, en ovanlig kombination som inte vanligtvis observeras bland vanliga e-brottsoperatörer.

I en av de viktigaste tekniska indikatorerna använder en bakdörr med namnet dnsclient.exe, en del av AK47 C2-sviten, DNS-baserad kommunikation med en förfalskad domän:
update.updatemicfosoft.com, som imiterar en Microsoft-uppdateringsserver för att undvika upptäckt.

Hybrid Arsenal: Öppen källkod möter anpassade nyttolaster

Storm-2603:s verktygslåda visar en blandning av legitim programvara och skadliga förbättringar, inklusive:

Vanligt förekommande verktyg:

• masscan – För hamnskanning och rekognoscering.
• WinPcap – Verktyg för att fånga nätverkspaket.
• SharpHostInfo – Samlar in värdbaserad information.
• nxc och PsExec – Verktyg för fjärrkörning av kommandon.

Skadliga tillägg:

• 7z.exe och 7z.dll: Legitima 7-Zip-binärfiler utnyttjas för att sidladda en DLL som levererar Warlock ransomware.
• bbb.msi: Ett installationsprogram som sidladdar clink_dll_x86.dll via clink_x86.exe, vilket i slutändan resulterar i LockBit Black-distribution.

Dessa verktyg används tillsammans med BYOVD-tekniker (Bring Your Own Vulnerable Driver) för att neutralisera endpoint-försvar, tillsammans med DLL-sideloading-taktik, vilket ytterligare komplicerar detektering och respons.

Geografisk räckvidd och skuggiga mål

Det finns bevis som tyder på att Storm-2603 har varit aktivt sedan åtminstone mars 2025 och riktat in sig på enheter i Latinamerika och Asien-Stillahavsområdet (APAC). Gruppens strategi att kombinera ransomware-familjer och rikta in sig på olika geografiska sektorer väcker frågor om dess slutgiltiga mål.

Även om deras motiv fortfarande är oklara, tyder paralleller med andra nationalstatliga aktörer (särskilt från Kina, Iran och Nordkorea) som har använt ransomware i geopolitiska operationer på att Storm-2603 kan befinna sig på gränsen mellan spionage och ekonomiskt motiverad brottslighet.

APT-kriminella kopplingar: En växande oro

Storm-2603 exemplifierar en ökande trend av hybrida hotaktörer, de som blandar traditionella Advanced Persistent Threat (APT)-tekniker med ransomware-operationer. Bland anmärkningsvärda taktiker finns:

Taktiska höjdpunkter:

• Användning av DLL-kapning för att leverera flera ransomware-stammar.
• BYOVD avvecklar verktyg för endpoint-skydd.
• Förlita sig på verktyg med öppen källkod för smygfunktioner och skalbarhet.

Gruppens användning av samma infrastruktur för att hosta webbgränssnitt (som spinstall0.aspx) och underlätta C2-kommunikation understryker den ökande sofistikeringen av moderna cyberattacker.

Storm-2603:s verksamhet avslöjar en farlig utveckling inom cyberbrottslighet, där suddiga gränser mellan statssponsrad spionage och vinstdrivna skadliga programkampanjer gör tillskrivning, försvar och respons betydligt mer komplexa.