Los actores de amenazas están abusando de Velociraptor, una herramienta digital forense y de respuesta a incidentes (DFIR) de código abierto, en relación con los ataques de ransomware probablemente orquestados por Tormenta-2603 (también conocido como CL-CRI-1040 o Gold Salem), conocido por implementar los ransomware Warlock y LockBit.
El uso de la utilidad de seguridad por parte del actor de la amenaza fue documentadas de Sophos el mes pasado. Se ha determinado que los atacantes utilizaron como arma las vulnerabilidades locales de SharePoint conocidas como ToolShell para obtener el acceso inicial y ofrecer una versión desactualizada de Velociraptor (versión 0.73.4.0) que es susceptible a una vulnerabilidad de escalada de privilegios ( CVE-2025-6264 ) para permitir la ejecución arbitraria de comandos y la toma de control del punto final, por Cisco Talos .
En el ataque de mediados de agosto de 2025, se dice que los actores de la amenaza intentaron aumentar los privilegios creando cuentas de administración de dominio y moviéndose lateralmente dentro del entorno comprometido, además de aprovechar el acceso para ejecutar herramientas como Smbexec para lanzar programas de forma remota utilizando el protocolo SMB.
Antes de la filtración de datos y la eliminación de Warlock, LockBit y Babuk, se descubrió que el adversario modificaba los objetos de política de grupo (GPO) de Active Directory (AD), desactivaba la protección en tiempo real para alterar las defensas del sistema y evitaba ser detectado. Estos hallazgos marcan la primera vez que Storm-2603 se vincula con el despliegue del ransomware Babuk.
Rapid7, que mantiene Velociraptor tras adquirirlo en 2021, anteriormente dijo The Hacker News dice que es consciente del uso indebido de la herramienta y que también se puede abusar de ella cuando está en malas manos, al igual que otras herramientas administrativas y de seguridad.
«Este comportamiento refleja un patrón de uso indebido más que un defecto del software: los adversarios simplemente reutilizan las capacidades legítimas de recopilación y orquestación», dijo Christiaan Beek, director sénior de análisis de amenazas de Rapid7, dijo en respuesta a los últimos ataques denunciados.
Según Halcyon, se cree que Storm-2603 comparte algunas conexiones con actores estatales chinos debido a su acceso anticipado al exploit ToolShell y a la aparición de nuevas muestras que muestran prácticas de desarrollo de nivel profesional consistentes con grupos de hackers sofisticados.
La tripulación del ransomware, que surgió por primera vez en junio de 2025, desde entonces ha utilizado LockBit como herramienta operativa y como base de desarrollo. Vale la pena señalar que Warlock fue el último afiliado registrado en el esquema LockBit con el nombre «wlteaml» antes que LockBit sufrió una fuga de datos un mes antes.
«Warlock planeó desde el principio implementar varias familias de ransomware para confundir la atribución, evadir la detección y acelerar el impacto», dijo la empresa dijo . «Warlock demuestra la disciplina, los recursos y el acceso característicos de los actores de amenazas alineados con los estados nacionales, no de los equipos de ransomware oportunistas».
Halcyon también señaló los ciclos de desarrollo de 48 horas del actor de amenazas para añadir funciones, lo que refleja los flujos de trabajo estructurados del equipo. Esta estructura de proyecto centralizada y organizada sugiere un equipo con infraestructura y herramientas dedicadas, añadió.
Otros aspectos notables que sugieren vínculos con actores patrocinados por el estado chino incluyen -
- Uso de medidas de seguridad operativa (OPSEC), como marcas de tiempo eliminadas y mecanismos de caducidad dañados intencionalmente
- La recopilación de las cargas útiles del ransomware a las 22:58-22:59 hora estándar de China y su empaquetado en un instalador malintencionado a la 01:55 de la mañana siguiente
- Información de contacto uniforme y dominios compartidos y mal escritos en las implementaciones de Warlock, LockBit y Babuk, lo que sugiere operaciones cohesivas de comando y control (C2) y no una reutilización oportunista de la infraestructura
Un análisis más profundo del cronograma de desarrollo de Storm-2603 ha descubierto que el actor de la amenaza estableció la infraestructura para Marco AK47 C2 en marzo de 2025, y al mes siguiente creó el primer prototipo de la herramienta. En abril, también pasó de la implementación exclusiva de Lockbit a la implementación dual de Lockbit/Warlock en un lapso de 48 horas.
Si bien posteriormente se registró como filial de LockBit, continuó trabajando en su propio ransomware hasta que se lanzó formalmente bajo la marca Warlock en junio. Semanas más tarde, se observó que el actor de la amenaza aprovechaba el exploit ToolShell como un ataque de día cero y, al mismo tiempo, lanzaba el ransomware Babuk a partir del 21 de julio de 2025.
«La rápida evolución del grupo en abril, pasando del despliegue exclusivo de LockBit 3.0 a un despliegue múltiple de ransomware 48 horas después, seguido del despliegue de Babuk en julio, demuestra la flexibilidad operativa, las capacidades de detección y evasión, las tácticas de confusión en la atribución y la sofisticada experiencia de los creadores que utilizan marcos de ransomware filtrados y de código abierto», afirma Halcyon.