Un actor de amenaza recientemente identificado designado Storm-2603 se ha convertido en un adversario sofisticado en el panorama de ransomware, aprovechando el malware avanzado personalizado para eludir las protecciones de seguridad de los puntos finales a través de técnicas innovadoras.
El grupo primero llamó la atención durante la investigación de Microsoft sobre la campaña “Toolshell”, que explotó múltiples vulnerabilidades de SharePoint Server, incluidos CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 y CVE-2025-53771.
A diferencia de los grupos APT chinos establecidos como el tifón de lino y el tifón Violet que también estuvieron involucrados en estos ataques, Storm-2603 representa un clúster previamente indocumentado con características operativas distintas.
El arsenal del actor de amenaza se centra en un marco de control y control personalizado denominado internamente “AK47C2”, que demuestra una notable sofisticación técnica a través de su arquitectura de doble cliente.
Este marco incorpora canales de comunicación basados en HTTP, designados “AK47HTTP” y capacidades de túnel basadas en DNS llamadas “AK47DN”.
El diseño del malware refleja una cuidadosa consideración para la seguridad operativa y la persistencia, lo que permite a los atacantes mantener el comando y el control incluso cuando los sistemas tradicionales de monitoreo de redes están en su lugar.
Eventos asociados con Storm-2603 (Fuente-Punto de verificación)
Investigadores de punto de control identificado que las operaciones de Storm-2603 se han extendido más allá de las explotaciones iniciales de SharePoint, con evidencia que sugiere que el grupo dirigió a las organizaciones en América Latina y la región del Pacífico de Asia durante la primera mitad de 2025.
La metodología del grupo implica la implementación de múltiples familias de ransomware simultáneamente, incluidas las variantes de Lockbit Black y Warlock, a menudo utilizando técnicas de secuestro de DLL para la implementación y ejecución.
Implementación de BYOVD y bypass de protección de punto final
El aspecto más notable del arsenal técnico de Storm-2603 es su herramienta personalizada “Terminador antivirus”, que ejemplifica la técnica traer su propio controlador vulnerable (BYOVD) para deshabilitar las protecciones de punto final.
Implementación de múltiples ransomware MSI (fuente-Punto de verificación)
Esta utilidad sofisticada requiere privilegios administrativos y aprovecha un controlador legítimo y firmado digitalmente desarrollado originalmente por AntiY Labs como parte de su sistema de herramientas de análisis en profundidad de su sistema.
La herramienta crea un servicio llamado “ServiceMouse” que carga el controlador vulnerable ServiceMouse.sys, que en realidad es una versión renombrada de ATOOLSKRN164.Sys.
El malware se comunica con este controlador utilizando códigos de control de IO específicos, particularmente 0x99000050 para la terminación del proceso, 0x990000d0 para la eliminación de archivos y 0x990001d0 para operaciones de descarga del controlador.
if (DeviceIocontrol (HDevice, 0x99000050, e Inbuffer, 4U, Outbuffer, 4U, bytesReturned, 0)) {printf_0 (“Kill Ok:%S \ r \ n”, V1); }
Esta implementación permite que el malware finalice los procesos de seguridad a nivel del núcleo, neutralizando efectivamente los sistemas de protección de punto final antes de implementar cargas útiles de ransomware.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
