Il gruppo di cybercriminali conosciuto come Storm-2603 è stato recentemente collegato a una serie di attacchi informatici che sfruttano vulnerabilità di Microsoft SharePoint Server, con l’obiettivo di distribuire ransomware come Warlock (noto anche come X2anylock) e LockBit Black. Questi attacchi si distinguono per l’impiego di un framework di comando e controllo personalizzato chiamato AK47 C2, che esiste in due varianti: una basata su HTTP (AK47HTTP) e una basata su DNS (AK47DNS). La versione DNS in particolare utilizza tecniche avanzate di comunicazione tra i sistemi infetti e i server sotto il controllo degli attaccanti, rendendo più difficile il rilevamento da parte delle soluzioni di sicurezza tradizionali.

Le indagini suggeriscono che Storm-2603 sia attivo almeno da marzo 2025 e abbia preso di mira organizzazioni in America Latina e nella regione APAC, distribuendo a volte contemporaneamente sia Warlock sia LockBit, una strategia insolita tra i gruppi cybercriminali più noti. Oltre ai ransomware, il gruppo si serve di strumenti open source e utilità Windows legittime come masscan, WinPcap, SharpHostInfo, nxc e PsExec per muoversi lateralmente nelle reti compromesse e per raccogliere informazioni sugli host. Un elemento chiave delle operazioni è la backdoor “dnsclient.exe”, che si appoggia al protocollo DNS per le comunicazioni di comando e controllo, usando un dominio appositamente registrato simile a quelli di Microsoft per passare inosservato.

Catena d’attacco e tecniche adottate

Storm-2603 adotta una catena d’attacco complessa: sfrutta DLL hijacking tramite l’uso di file legittimi come 7z.exe e clink_x86.exe per caricare librerie malevole che attivano i ransomware.

• DLL hijacking: utilizzo di file legittimi per caricare librerie dannose
• Disattivazione degli antivirus: installazione di un eseguibile personalizzato (“VMToolsEng.exe”) sfruttando la tecnica BYOVD (bring your own vulnerable driver) tramite un driver di terze parti fornito da un vendor cinese
• Persistenza: terminazione dei software di sicurezza attivi, favorendo la permanenza delle minacce nella rete

Non è ancora chiaro se Storm-2603 agisca principalmente per scopi di spionaggio o per profitto, ma l’uso combinato di tecniche tipiche delle Advanced Persistent Threat (APT) e di strategie dei gruppi ransomware criminali evidenzia un’evoluzione delle metodologie offensive. L’utilizzo di strumenti open source e di tecniche come il BYOVD sottolinea una tendenza crescente verso attacchi sempre più sofisticati e difficili da identificare per le difese aziendali.