Хакерская группировка Storm-2603, также известная под псевдонимами CL-CRI-1040 и Gold Salem, использует легитимный инструмент для цифровой криминалистики и реагирования на инциденты (DFIR) Velociraptor для проведения многоэтапных атак с использованием программ-вымогателей Warlock, LockBit и Babuk. Впервые зафиксировано развертывание группировкой вируса-шифровальщика Babuk, что свидетельствует о расширении ее арсенала.
Первоначальный доступ к сетям жертв злоумышленники получают путем эксплуатации уязвимостей в локальных серверах SharePoint с помощью эксплойта под названием ToolShell. Аналитики из компании Halcyon отмечают, что группировка имела доступ к этому эксплойту еще на стадии zero-day, что указывает на высокий уровень ее технической оснащенности.
После проникновения в систему атакующие развертывают устаревшую версию Velociraptor (0.73.4.0). Они эксплуатируют уязвимость CVE-2025-6264 в этом программном обеспечении, которая позволяет повысить привилегии в системе. Это дает им возможность выполнять произвольные команды и получать полный контроль над скомпрометированными конечными точками.
В ходе атаки, зафиксированной в середине августа 2025 года, Storm-2603 после получения контроля пыталась создавать новые учетные записи администраторов домена для закрепления в системе. Для горизонтального перемещения по сети и удаленного запуска программ использовался инструмент Smbexec, работающий по протоколу SMB.
Чтобы избежать обнаружения, группировка изменяла объекты групповой политики (GPO) в Active Directory, отключая средства защиты в реальном времени на зараженных машинах. Финальным этапом атаки становилась эксфильтрация конфиденциальных данных, после чего развертывались основные полезные нагрузки — программы-вымогатели Warlock, LockBit и Babuk.
Аналитики Halcyon связывают Storm-2603 с китайскими государственными субъектами. На это указывают дисциплина, ресурсы и уровень доступа, характерные для подобных структур. Группировка демонстрирует профессиональные методы разработки, включая 48-часовые циклы для добавления новых функций в свои инструменты, а также централизованную и организованную структуру проекта с выделенной командой и инфраструктурой.
Дополнительные доказательства включают методы обеспечения операционной безопасности (OPSEC), такие как удаление временных меток из файлов и намеренное повреждение механизмов истечения срока действия для сокрытия криминалистических данных. Временные метки компиляции программ-вымогателей (между 22:58 и 22:59 по китайскому стандартному времени) и их упаковки в установщик (в 01:55 следующего утра) также указывают на работу в этом часовом поясе.
Инфраструктура злоумышленников отличается слаженностью. Использование последовательной контактной информации и общих доменов с преднамеренными опечатками для развертывания Warlock, LockBit и Babuk свидетельствует о спланированных операциях по управлению (C2), а не об оппортунистическом повторном использовании ресурсов.
Эволюция группировки прослеживается с марта 2025 года, когда была создана инфраструктура для их C2-фреймворка AK47. В апреле 2025 года появился первый прототип инструмента, который в течение 48 часов был доработан для одновременного развертывания LockBit и Warlock. В июне 2025 года был официально запущен бренд Warlock, а сама группа зарегистрировалась в качестве партнера LockBit под именем "wlteaml", став последним партнером перед утечкой данных этой платформы. Развертывание Babuk началось 21 июля 2025 года.
Расследованием деятельности Storm-2603 занимались несколько компаний. Sophos впервые задокументировала использование группировкой легитимной утилиты. Детальный анализ метода атаки, включая использование эксплойта ToolShell и уязвимости CVE-2025-6264, был предоставлен Cisco Talos. Углубленный анализ, связывающий деятельность группы с Китаем, провела компания Halcyon.
Rapid7, компания, которая приобрела Velociraptor в 2021 году, прокомментировала ситуацию для The Hacker News. Кристиан Бик, старший директор по анализу угроз в Rapid7, заявил: «Такое поведение отражает модель неправомерного использования, а не недостаток программного обеспечения: злоумышленники просто перепрофилируют легитимные возможности сбора данных и управления». Компания подчеркивает, что злоупотребление законными инструментами является распространенной тактикой злоумышленников.
Изображение носит иллюстративный характер
Первоначальный доступ к сетям жертв злоумышленники получают путем эксплуатации уязвимостей в локальных серверах SharePoint с помощью эксплойта под названием ToolShell. Аналитики из компании Halcyon отмечают, что группировка имела доступ к этому эксплойту еще на стадии zero-day, что указывает на высокий уровень ее технической оснащенности.
После проникновения в систему атакующие развертывают устаревшую версию Velociraptor (0.73.4.0). Они эксплуатируют уязвимость CVE-2025-6264 в этом программном обеспечении, которая позволяет повысить привилегии в системе. Это дает им возможность выполнять произвольные команды и получать полный контроль над скомпрометированными конечными точками.
В ходе атаки, зафиксированной в середине августа 2025 года, Storm-2603 после получения контроля пыталась создавать новые учетные записи администраторов домена для закрепления в системе. Для горизонтального перемещения по сети и удаленного запуска программ использовался инструмент Smbexec, работающий по протоколу SMB.
Чтобы избежать обнаружения, группировка изменяла объекты групповой политики (GPO) в Active Directory, отключая средства защиты в реальном времени на зараженных машинах. Финальным этапом атаки становилась эксфильтрация конфиденциальных данных, после чего развертывались основные полезные нагрузки — программы-вымогатели Warlock, LockBit и Babuk.
Аналитики Halcyon связывают Storm-2603 с китайскими государственными субъектами. На это указывают дисциплина, ресурсы и уровень доступа, характерные для подобных структур. Группировка демонстрирует профессиональные методы разработки, включая 48-часовые циклы для добавления новых функций в свои инструменты, а также централизованную и организованную структуру проекта с выделенной командой и инфраструктурой.
Дополнительные доказательства включают методы обеспечения операционной безопасности (OPSEC), такие как удаление временных меток из файлов и намеренное повреждение механизмов истечения срока действия для сокрытия криминалистических данных. Временные метки компиляции программ-вымогателей (между 22:58 и 22:59 по китайскому стандартному времени) и их упаковки в установщик (в 01:55 следующего утра) также указывают на работу в этом часовом поясе.
Инфраструктура злоумышленников отличается слаженностью. Использование последовательной контактной информации и общих доменов с преднамеренными опечатками для развертывания Warlock, LockBit и Babuk свидетельствует о спланированных операциях по управлению (C2), а не об оппортунистическом повторном использовании ресурсов.
Эволюция группировки прослеживается с марта 2025 года, когда была создана инфраструктура для их C2-фреймворка AK47. В апреле 2025 года появился первый прототип инструмента, который в течение 48 часов был доработан для одновременного развертывания LockBit и Warlock. В июне 2025 года был официально запущен бренд Warlock, а сама группа зарегистрировалась в качестве партнера LockBit под именем "wlteaml", став последним партнером перед утечкой данных этой платформы. Развертывание Babuk началось 21 июля 2025 года.
Расследованием деятельности Storm-2603 занимались несколько компаний. Sophos впервые задокументировала использование группировкой легитимной утилиты. Детальный анализ метода атаки, включая использование эксплойта ToolShell и уязвимости CVE-2025-6264, был предоставлен Cisco Talos. Углубленный анализ, связывающий деятельность группы с Китаем, провела компания Halcyon.
Rapid7, компания, которая приобрела Velociraptor в 2021 году, прокомментировала ситуацию для The Hacker News. Кристиан Бик, старший директор по анализу угроз в Rapid7, заявил: «Такое поведение отражает модель неправомерного использования, а не недостаток программного обеспечения: злоумышленники просто перепрофилируют легитимные возможности сбора данных и управления». Компания подчеркивает, что злоупотребление законными инструментами является распространенной тактикой злоумышленников.
