Los actores de amenazas están abusando de Velociraptor, una herramienta forense digital y respuesta a incidentes (DFIR) de código abierto, en relación con ataques de ransomware probablemente orquestados por Tormenta-2603 (también conocido como CL-CRI-1040 o Gold Salem), conocido por implementar el ransomware Warlock y LockBit.
El uso de la utilidad de seguridad por parte del actor de amenazas fue documentado por Sophos el mes pasado. Se evalúa que los atacantes utilizaron como arma las vulnerabilidades locales de SharePoint conocidas como ToolShell para obtener acceso inicial y entregar una versión desactualizada de Velociraptor (versión 0.73.4.0) que es susceptible a una vulnerabilidad de escalada de privilegios (CVE-2025-6264) para permitir la ejecución de comandos arbitrarios y la toma de control de puntos finales, según Cisco Talos.
En el ataque de mediados de agosto de 2025, se dice que los actores de la amenaza intentaron escalar privilegios creando cuentas de administrador de dominio y moviéndose lateralmente dentro del entorno comprometido, además de aprovechar el acceso para ejecutar herramientas como Smbexec para iniciar programas de forma remota utilizando el protocolo SMB.
Antes de la filtración de datos y la eliminación de Warlock, LockBit y Babuk, se descubrió que el adversario modificaba los objetos de política de grupo (GPO) de Active Directory (AD), desactivaba la protección en tiempo real para alterar las defensas del sistema y evadía la detección. Los hallazgos marcan la primera vez que Storm-2603 se vincula con la implementación del ransomware Babuk.
Rapid7, que mantiene Velociraptor tras adquirirlo en 2021, anteriormente dijo The Hacker News es consciente del mal uso de la herramienta y de que también se puede abusar de ella cuando está en las manos equivocadas, al igual que otras herramientas administrativas y de seguridad.
«Este comportamiento refleja un patrón de uso indebido en lugar de una falla de software: los adversarios simplemente reutilizan capacidades legítimas de recopilación y orquestación», dijo Christiaan Beek, director senior de análisis de amenazas de Rapid7, dicho en respuesta a los últimos ataques reportados.
Según Halcyon, se cree que Storm-2603 comparte algunas conexiones con actores estatales-nación chinos debido a su acceso temprano al exploit ToolShell y la aparición de nuevas muestras que exhiben prácticas de desarrollo de nivel profesional consistentes con grupos de hackers sofisticados.
El equipo de ransomware, que surgió por primera vez en junio de 2025, desde entonces ha utilizado LockBit como herramienta operativa y base de desarrollo. Vale la pena señalar que Warlock fue el último afiliado registrado en el esquema LockBit con el nombre «wlteaml» antes de LockBit. sufrió una fuga de datos un mes antes.
«Warlock planeó desde el principio implementar múltiples familias de ransomware para confundir la atribución, evadir la detección y acelerar el impacto», dijo la empresa. dicho. «Warlock demuestra la disciplina, los recursos y el acceso característicos de los actores de amenazas alineados con los estados-nación, no de los equipos oportunistas de ransomware».
Halcyon también señaló los ciclos de desarrollo de 48 horas del actor de amenazas para agregar funciones, lo que refleja los flujos de trabajo estructurados del equipo. Esta estructura de proyecto centralizada y organizada sugiere un equipo con infraestructura y herramientas dedicadas, agregó.
Otros aspectos notables que sugieren vínculos con actores patrocinados por el estado chino incluyen:
- Uso de medidas de seguridad operativa (OPSEC), como marcas de tiempo eliminadas y mecanismos de vencimiento corruptos intencionalmente
- La compilación de cargas útiles de ransomware entre las 22:58 y las 22:59, hora estándar de China, y su empaquetado en un instalador malicioso a la 01:55 de la mañana siguiente.
- Información de contacto consistente y dominios compartidos y mal escritos en las implementaciones de Warlock, LockBit y Babuk, lo que sugiere operaciones cohesivas de comando y control (C2) y no una reutilización oportunista de la infraestructura.
Un examen más profundo del cronograma de desarrollo de Storm-2603 ha revelado que el actor de amenazas estableció la infraestructura para Marco AK47 C2 en marzo de 2025 y luego creó el primer prototipo de la herramienta el mes siguiente. En abril, también pasó de la implementación exclusiva de LockBit a la implementación dual de LockBit/Warlock en un lapso de 48 horas.
Si bien posteriormente se registró como afiliado de LockBit, el trabajo continuó en su propio ransomware hasta que se lanzó formalmente bajo la marca Warlock en junio. Semanas más tarde, se observó que el actor de amenazas aprovechaba el exploit ToolShell como día cero y al mismo tiempo implementaba el ransomware Babuk a partir del 21 de julio de 2025.
«La rápida evolución del grupo en abril desde la implementación de LockBit 3.0 únicamente a una implementación de múltiples ransomware 48 horas después, seguida por la implementación de Babuk en julio, muestra flexibilidad operativa, capacidades de evasión de detección, tácticas de confusión de atribuciones y experiencia sofisticada de los constructores que utilizan marcos de ransomware de código abierto y filtrados», dijo Halcyon.
Fuente