Các tác nhân đe dọa đang lạm dụng Velociraptor, một công cụ digital forensics and incident response (DFIR) mã nguồn mở, trong các cuộc tấn công ransomware có khả năng được dàn dựng bởi Storm-2603 (còn gọi là CL-CRI-1040 hoặc Gold Salem), nhóm được biết đến với việc triển khai ransomware Warlock và LockBit.
Việc tác nhân đe dọa sử dụng tiện ích bảo mật này đã được Sophos ghi nhận vào tháng trước. Các nhà phân tích đánh giá rằng những kẻ tấn công đã vũ khí hóa các lỗ hổng SharePoint tại chỗ, được gọi là ToolShell, để giành quyền truy cập ban đầu và phát tán một phiên bản Velociraptor lỗi thời (phiên bản 0.73.4.0) dễ bị tấn công bởi một lỗ hổng privilege escalation (CVE-2025-6264) nhằm thực thi lệnh tùy ý và chiếm quyền kiểm soát endpoint, theo Cisco Talos.
Trong cuộc tấn công vào giữa tháng 8 năm 2025, các tác nhân đe dọa được cho là đã cố gắng privilege escalation bằng cách tạo tài khoản admin domain và di chuyển ngang trong môi trường bị xâm nhập, cũng như tận dụng quyền truy cập để chạy các công cụ như Smbexec nhằm khởi chạy chương trình từ xa bằng giao thức SMB.
Trước khi data exfiltration và phát tán Warlock, LockBit và Babuk, kẻ tấn công đã được phát hiện thay đổi Active Directory (AD) Group Policy Objects (GPOs), tắt real-time protection để phá hoại các biện pháp phòng thủ hệ thống và evade detection. Những phát hiện này đánh dấu lần đầu tiên Storm-2603 được liên kết với việc triển khai ransomware Babuk.
Rapid7, đơn vị duy trì Velociraptor sau khi mua lại vào năm 2021, trước đây đã thông báo với The Hacker News rằng họ biết về việc công cụ này bị lạm dụng và nó cũng có thể bị lợi dụng nếu rơi vào tay kẻ xấu, giống như các công cụ bảo mật và quản trị khác.
"Hành vi này phản ánh một mô hình lạm dụng hơn là một lỗ hổng phần mềm: kẻ tấn công chỉ đơn thuần tái sử dụng các khả năng thu thập và điều phối hợp pháp," Christiaan Beek, giám đốc cấp cao về phân tích mối đe dọa của Rapid7, cho biết khi phản hồi về các cuộc tấn công được báo cáo gần đây nhất.
Theo Halcyon, Storm-2603 được cho là có một số liên hệ với các tác nhân được nhà nước Trung Quốc bảo trợ do chúng có quyền truy cập sớm vào ToolShell exploit và sự xuất hiện của các mẫu mới thể hiện các thực hành phát triển chuyên nghiệp, phù hợp với các nhóm hacking tinh vi.
Nhóm ransomware này, lần đầu tiên xuất hiện vào tháng 6 năm 2025, đã sử dụng LockBit như một công cụ vận hành và nền tảng phát triển. Điều đáng chú ý là Warlock là affiliate cuối cùng đăng ký với chương trình LockBit dưới tên "wlteaml" trước khi LockBit bị rò rỉ dữ liệu một tháng trước đó.
"Warlock đã lên kế hoạch từ đầu để triển khai nhiều dòng ransomware nhằm gây nhầm lẫn trong việc quy trách nhiệm, evade detection và tăng tốc độ tác động," công ty cho biết. "Warlock thể hiện tính kỷ luật, nguồn lực và khả năng tiếp cận đặc trưng của các tác nhân đe dọa có liên kết với nhà nước, chứ không phải các nhóm ransomware cơ hội."
Halcyon cũng chỉ ra các chu kỳ phát triển tính năng 48 giờ của tác nhân đe dọa, phản ánh quy trình làm việc theo nhóm có cấu trúc. Cấu trúc dự án tập trung, có tổ chức này cho thấy một nhóm có cơ sở hạ tầng và công cụ chuyên dụng, theo Halcyon.
Các dấu hiệu liên kết với các tác nhân được nhà nước Trung Quốc bảo trợ
- Sử dụng các biện pháp operational security (OPSEC), chẳng hạn như loại bỏ timestamp và cơ chế hết hạn bị làm hỏng có chủ đích.
- Biên dịch các payload ransomware vào lúc 22:58-22:59 China Standard Time và đóng gói chúng vào một trình cài đặt độc hại vào lúc 01:55 sáng hôm sau.
- Thông tin liên hệ nhất quán và các domain bị sai chính tả được chia sẻ trong các đợt triển khai Warlock, LockBit và Babuk, cho thấy các hoạt động command-and-control (C2) gắn kết chứ không phải là việc tái sử dụng cơ sở hạ tầng một cách cơ hội.
Lộ trình phát triển của Storm-2603
Một cuộc kiểm tra sâu hơn về lộ trình phát triển của Storm-2603 đã tiết lộ rằng tác nhân đe dọa này đã thiết lập cơ sở hạ tầng cho AK47 C2 framework vào tháng 3 năm 2025, và sau đó tạo ra nguyên mẫu đầu tiên của công cụ vào tháng sau đó. Vào tháng 4, nhóm cũng chuyển từ chỉ triển khai LockBit sang triển khai song song LockBit/Warlock trong vòng 48 giờ.
Mặc dù sau đó Storm-2603 đã đăng ký làm một LockBit affiliate, công việc phát triển ransomware của riêng nhóm vẫn tiếp tục cho đến khi nó được chính thức ra mắt dưới thương hiệu Warlock vào tháng 6. Vài tuần sau, tác nhân đe dọa được quan sát thấy đã lợi dụng ToolShell exploit như một zero-day, đồng thời triển khai ransomware Babuk bắt đầu từ ngày 21 tháng 7 năm 2025.
"Sự phát triển nhanh chóng của nhóm vào tháng 4 từ việc chỉ triển khai LockBit 3.0 sang triển khai đa ransomware 48 giờ sau đó, tiếp theo là triển khai Babuk vào tháng 7, cho thấy tính linh hoạt trong hoạt động, khả năng evade detection, các chiến thuật gây nhầm lẫn trong quy trách nhiệm và chuyên môn xây dựng tinh vi bằng cách sử dụng các framework ransomware bị rò rỉ và mã nguồn mở," Halcyon cho biết.
