AK47 C2框架

最近发现的威胁行为者 Storm-2603 涉嫌利用 Microsoft SharePoint Server 中已知的安全漏洞。该组织疑似在中国境外活动，并使用名为 AK47 C2（也称为 ak47c2）的自定义命令与控制 (C2) 框架来策划攻击。

AK47 C2 平台采用两种主要通信方法：AK47HTTP（利用 HTTP 协议进行 C2 通信）和 AK47DNS（利用 DNS 协议进行隐蔽命令传递）。

这些组件帮助恶意软件根据从 HTTP 或 DNS 服务器响应解析的数据，通过 cmd.exe 在受感染的系统上接收和执行命令。

利用微软漏洞实现最大影响

Storm-2603 利用 SharePoint 漏洞 CVE-2025-49706 和 CVE-2025-49704（也称为 ToolShell）来入侵网络并部署恶意负载。其中最主要的是像 Warlock（又名 X2anylock）和 LockBit Black 这样的勒索软件家族，这种组合在主流电子犯罪运营商中并不常见。

在其中一个关键技术指标中，名为 dnsclient.exe 的后门（AK47 C2 套件的一部分）使用基于 DNS 的通信与欺骗域进行：
update.updatemicfosoft.com，模仿微软更新服务器以逃避检测。

混合武器库：开源与定制有效载荷的结合

Storm-2603 的工具包展示了合法软件和恶意增强功能的混合，其中包括：

常用实用程序：

• masscan——用于端口扫描和侦察。
• WinPcap——网络数据包捕获工具。
• SharpHostInfo – 收集基于主机的信息。
• nxc 和 PsExec – 远程命令执行工具。

恶意添加：

• 7z.exe 和 7z.dll：合法的 7-Zip 二进制文件被利用来侧载传递 Warlock 勒索软件的 DLL。
• bbb.msi：通过 clink_x86.exe 侧载 clink_dll_x86.dll 的安装程序，最终实现 LockBit Black 部署。

这些工具与 BYOVD（自带易受攻击的驱动程序）技术结合使用，以消除端点防御，并与 DLL 侧加载策略结合使用，进一步使检测和响应复杂化。

地理范围和隐秘目标

有证据表明，Storm-2603 至少自 2025 年 3 月起就一直活跃，其目标遍及拉丁美洲和亚太地区 (APAC)。该组织将勒索软件家族组合在一起，并针对不同地理区域，这种策略令人对其最终目标产生怀疑。

尽管他们的动机仍不明朗，但与其他在地缘政治行动中使用勒索软件的国家行为者（特别是中国、伊朗和朝鲜）的相似之处表明，Storm-2603 可能介于间谍活动和经济犯罪之间。

APT与犯罪分子的联系：日益严重的问题

Storm-2603 体现了混合型威胁行为者日益增多的趋势，这些威胁行为者将传统的高级持续性威胁 (APT) 技术与勒索软件操作相结合。值得关注的策略包括：

战术重点：

• 使用 DLL 劫持来传播多种勒索软件。
• BYOVD 拆除端点保护工具。
• 依赖开源工具实现隐身性和可扩展性。

该组织使用相同的基础设施来托管 Web Shell（如 spinstall0.aspx）并促进 C2 通信，这突显了现代网络攻击日益复杂化。

Storm-2603 的行动揭示了网络犯罪的危险演变，其中国家支持的间谍活动和利润驱动的恶意软件活动之间的界限模糊，使归因、防御和响应变得更加复杂。