Китайская хакерская группировка, получившая от Microsoft идентификатор Storm-2603, в первой половине 2025 года провела серию кибератак на организации в Латинской Америке и Азиатско-Тихоокеанском регионе. Деятельность группы характеризуется гибридным подходом, который сочетает тактики, свойственные государственным APT-группам, с методами финансово мотивированных киберпреступников, размывая грань между шпионажем и вымогательством.
Первоначальный вектор атак нацелен на уязвимости в Microsoft SharePoint Server. Злоумышленники эксплуатируют недавно раскрытые бреши CVE-2025-49706 и CVE-2025-49704 (также известную как ToolShell). После успешной эксплуатации на скомпрометированном сервере размещается веб-шелл с именем
Центральным элементом инфраструктуры атакующих является кастомный фреймворк для управления и контроля (C2), названный AK47 C2 (или ak47c2). Исследователи из компании Check Point Research выделили два типа клиентов этого фреймворка: AK47HTTP, использующий для связи HTTP-протокол, и AK47DNS, работающий через систему доменных имен. Вся коммуникация направляется на домен
В рамках фреймворка AK47 C2 используется специальный DNS-бэкдор. Этот вредоносный компонент, представленный файлом
Конечной целью атак является развертывание программ-вымогателей. Группировка Storm-2603 использует для шифрования данных две различные семейства вредоносного ПО: Warlock (также известное как X2anylock) и вариант популярного шифровальщика LockBit Black.
Для доставки вредоносной нагрузки и обхода защитных механизмов применяется техника DLL Sideloading (перехват DLL). В одном из сценариев легитимные файлы архиватора 7-Zip (
В другом зафиксированном случае для развертывания LockBit Black использовался установщик
Одной из наиболее продвинутых техник в арсенале группы является Bring Your Own Vulnerable Driver (BYOVD). Этот метод применяется для отключения антивирусного и другого защитного программного обеспечения на зараженной машине.
Для реализации атаки BYOVD используется кастомный исполняемый файл
Для разведки в сети и горизонтального перемещения Storm-2603 активно применяет общедоступные и легитимные инструменты. В их арсенале были замечены сканер портов
Изображение носит иллюстративный характер
Первоначальный вектор атак нацелен на уязвимости в Microsoft SharePoint Server. Злоумышленники эксплуатируют недавно раскрытые бреши CVE-2025-49706 и CVE-2025-49704 (также известную как ToolShell). После успешной эксплуатации на скомпрометированном сервере размещается веб-шелл с именем
spinstall0.aspx, который обеспечивает связь с командным центром. Полная цепочка первоначального доступа пока остается не до конца изученной. Центральным элементом инфраструктуры атакующих является кастомный фреймворк для управления и контроля (C2), названный AK47 C2 (или ak47c2). Исследователи из компании Check Point Research выделили два типа клиентов этого фреймворка: AK47HTTP, использующий для связи HTTP-протокол, и AK47DNS, работающий через систему доменных имен. Вся коммуникация направляется на домен
update.updatemicfosoft[.]com. В рамках фреймворка AK47 C2 используется специальный DNS-бэкдор. Этот вредоносный компонент, представленный файлом
dnsclient.exe, использует DNS-запросы для скрытой связи с сервером управления. Его функционал включает сбор информации о зараженном хосте и выполнение команд через системный интерпретатор cmd.exe. Конечной целью атак является развертывание программ-вымогателей. Группировка Storm-2603 использует для шифрования данных две различные семейства вредоносного ПО: Warlock (также известное как X2anylock) и вариант популярного шифровальщика LockBit Black.
Для доставки вредоносной нагрузки и обхода защитных механизмов применяется техника DLL Sideloading (перехват DLL). В одном из сценариев легитимные файлы архиватора 7-Zip (
7z.exe и 7z.dll) используются для загрузки вредоносной библиотеки, которая разворачивает шифровальщик Warlock. В другом зафиксированном случае для развертывания LockBit Black использовался установщик
bbb.msi, загруженный на сервис VirusTotal в апреле 2025 года. Этот установщик запускал легитимный исполняемый файл clink_x86.exe для подгрузки вредоносной библиотеки "clink_dll_x86.dll". Одной из наиболее продвинутых техник в арсенале группы является Bring Your Own Vulnerable Driver (BYOVD). Этот метод применяется для отключения антивирусного и другого защитного программного обеспечения на зараженной машине.
Для реализации атаки BYOVD используется кастомный исполняемый файл
VMToolsEng.exe, который эксплуатирует уязвимость в легитимном драйвере ServiceMouse.sys. Примечательно, что данный драйвер является продуктом китайской компании в сфере кибербезопасности Antiy Labs, что демонстрирует способность злоумышленников использовать доверенные компоненты в своих целях. Для разведки в сети и горизонтального перемещения Storm-2603 активно применяет общедоступные и легитимные инструменты. В их арсенале были замечены сканер портов
masscan, анализатор сетевого трафика WinPcap, утилита для сбора информации о хостах SharpHostInfo, а также инструменты для сетевых атак nxc и удаленного выполнения команд PsExec.
