Un sofisticado actor de amenaza china ha estado explotando vulnerabilidades críticas en Microsoft SharePoint para implementar un conjunto de herramientas de malware avanzado denominado “Proyecto AK47”, según una nueva investigación publicada por la Unidad 42 de Palo Alto Networks.
La campaña, que ha estado activa desde al menos en marzo de 2025, representa una escalada significativa en los ataques dirigidos a entornos empresariales de SharePoint a través de una técnica conocida como la cadena de exploits de la costa de herramientas.
El actor de amenaza, designado Storm-2603 por Microsoft y rastreado como CL-CRI-1040 por Palo Alto Networks, ha estado aprovechando cuatro vulnerabilidades de SharePoint recientemente reveladas:——–
CVE-2025-49704 CVE-2025-49706 CVE-2025-537770 CVE-2025-53771
Estas vulnerabilidades permiten a los atacantes obtener acceso no autorizado a los servidores de SharePoint y posteriormente desplegar su arsenal de carga útil maliciosa.
La campaña demuestra la naturaleza en evolución del delito cibernético patrocinado por el estado, combinando tácticas avanzadas de amenaza persistente con operaciones de ransomware motivadas financieramente.
Analistas de Palo Alto Networks identificado Las superposiciones notables entre los informes de Microsoft sobre la actividad de la costa de herramientas y su clúster de amenazas rastreado por separado, lo que lleva al descubrimiento de esta operación sofisticada.
Superposiciones entre Storm-2603 y CL-CRI-1040 (fuente-Palo Alto Networks)
Los investigadores encontraron evidencia convincente que vincula la actividad con las operaciones de afiliados de Lockbit 3.0 anteriores y un grupo de ransomware recientemente emergido que opera bajo la marca “Warlock Client Letted Data Show”.
El conjunto de herramientas del Proyecto AK47 representa un marco de ataque integral que consiste en múltiples componentes interconectados diseñados para diferentes fases del ciclo de vida del ataque.
El conjunto de herramientas incluye la puerta trasera AK47C2, que admite múltiples protocolos de comunicación, incluidas las variantes DNS y HTTP, el ransomware AK47 personalizado también conocido como X2Anylock y varios cargadores que abusan de las técnicas de carga lateral de DLL para evadir la detección.
Infraestructura de comunicación multiprotocol
La puerta trasera AK47C2 demuestra capacidades sofisticadas de comando y control a través de su arquitectura de doble protocolo.
Estructura del Proyecto AK47 (Fuente – Palo Alto Networks)
El componente del cliente DNS, rastreado a través de su base de datos del programa (PDB) FilePath “C: \ Users \ Administrator \ Desktop \ Work \ Tools \ Ak47c2 \ dnsclinet-c \ dnsclient \ x64 \ versión \ dnsclient.pdb, se comunica con el comando y los servidores controlando los datos JSON utilizando xor cifrado con el cifrado Hardcoded Key” vhmd@h.
Entrada de ransomware AK47 (Fuente – Palo Alto Networks)
El malware emplea un mecanismo de codificación inteligente en el que XOR-ENCODE los datos del comando JSON, los convierte en cadenas hexadecimales y lo transmite como subdominios a la actualización del dominio C2.
Cuando el subdominio codificado excede los límites de longitud de consulta DNS de 255 bytes, el malware fragmenta los datos en múltiples consultas, preparando un carácter “S” para indicar transmisiones fragmentadas.
El servidor C2 responde a través de registros DNS TXT utilizando el mismo algoritmo de codificación.
Descripción general de las actividades de CL-CRI-1040 (Fuente-Palo Alto Networks)
La variante del cliente HTTP sigue un patrón de comunicación similar, pero utiliza solicitudes de publicación con datos codificados en el cuerpo HTTP. Ambas variantes comparten una funcionalidad idéntica, incluida la configuración de la duración del sueño y las capacidades de ejecución de comandos arbitrarios.
Los desarrolladores del malware han refinado continuamente el protocolo de comunicación, con la versión 202504 simplificando la estructura JSON e implementando la verificación de clave de sesión para una seguridad operativa mejorada.
El componente de ransomware agrega extensiones .x2anylock a archivos cifrados e incluye un interruptor de asesinato basado en la marca de tiempo que termina la ejecución si la fecha del sistema es posterior al 6 de junio de 2026.
Este sofisticado marco de ataque demuestra el compromiso de la amenaza del actor de desarrollar herramientas personalizadas en lugar de depender únicamente del malware estándar, lo que indica una operación bien recubierta con capacidades de desarrollo significativas.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
