Los ciberdelincuentes están abusando de Velociraptor, una herramienta de código abierto para análisis forense digital y respuesta a incidentes (DFIR), en relación con ataques de ransomware orquestados por Storm-2603 (también conocido como CL-CRI-1040 o Gold Salem), conocido por desplegar los ransomwares Warlock y LockBit.

El uso de esta herramienta de seguridad por parte de los atacantes fue documentado por Sophos el mes pasado. Se evalúa que los atacantes armaron las vulnerabilidades de SharePoint en las instalaciones, conocidas como ToolShell, para obtener acceso inicial y entregar una versión obsoleta de Velociraptor (versión 0.73.4.0) que es susceptible a una vulnerabilidad de escalada de privilegios (CVE-2025-6264) para permitir la ejecución arbitraria de comandos y la toma de control de endpoints, según Cisco Talos.

En el ataque de mediados de agosto de 2025, se dice que los atacantes intentaron escalar privilegios creando cuentas de administrador de dominio y moviéndose lateralmente dentro del entorno comprometido, además de aprovechar el acceso para ejecutar herramientas como Smbexec para lanzar programas de forma remota utilizando el protocolo SMB.

Antes de la exfiltración de datos y la descarga de Warlock, LockBit y Babuk, se ha descubierto que el adversario modifica los objetos de política de grupo (GPO) de Active Directory (AD), desactiva la protección en tiempo real para manipular las defensas del sistema y evade la detección. Los hallazgos marcan la primera vez que Storm-2603 se ha relacionado con el despliegue del ransomware Babuk.

Rapid7, que mantiene Velociraptor después de adquirirlo en 2021, informó previamente a The Hacker News que es consciente del mal uso de la herramienta y que también puede ser objeto de abusos cuando está en las manos equivocadas, al igual que otras herramientas de seguridad y administración.

“Este comportamiento refleja un patrón de uso indebido más que un fallo de software: los adversarios simplemente reutilizan las capacidades legítimas de recopilación y orquestación”, dijo Christiaan Beek, director sénior de análisis de amenazas de Rapid7, en respuesta a los últimos ataques denunciados.

Según Halcyon, se cree que Storm-2603 comparte algunas conexiones con actores estatales chinos debido a su acceso temprano al exploit de ToolShell y la aparición de nuevas muestras que exhiben prácticas de desarrollo de grado profesional consistentes con grupos de hacking sofisticados.

El grupo de ransomware, que surgió por primera vez en junio de 2025, ha utilizado desde entonces LockBit como herramienta operativa y como base de desarrollo. Cabe destacar que Warlock fue el último afiliado registrado en el esquema LockBit con el nombre “wlteaml” antes de que LockBit sufriera una filtración de datos un mes antes.

“Warlock planeó desde el principio desplegar múltiples familias de ransomware para confundir la atribución, evadir la detección y acelerar el impacto”, dijo la compañía. “Warlock demuestra la disciplina, los recursos y el acceso característicos de los actores de amenazas alineados con el estado-nación, no de los grupos de ransomware oportunistas”.

Halcyon también señaló los ciclos de desarrollo de 48 horas del actor de amenazas para las adiciones de características, lo que refleja flujos de trabajo de equipo estructurados. Esta estructura de proyecto centralizada y organizada sugiere un equipo con infraestructura y herramientas dedicadas, añadió.

Otros aspectos notables que sugieren vínculos con actores patrocinados por el estado chino incluyen:

* El uso de medidas de seguridad operativa (OPSEC), como marcas de tiempo eliminadas y mecanismos de expiración intencionalmente corruptos.
* La compilación de cargas útiles de ransomware a las 22:58-22:59 hora estándar de China y su empaquetado en un instalador malicioso a las 01:55 de la mañana siguiente.
* Información de contacto coherente y dominios compartidos con errores ortográficos en los despliegues de Warlock, LockBit y Babuk, lo que sugiere operaciones cohesivas de mando y control (C2) y no una reutilización oportunista de la infraestructura.

Un examen más profundo de la línea de tiempo de desarrollo de Storm-2603 ha descubierto que el actor de la amenaza estableció la infraestructura para el framework AK47 C2 en marzo de 2025, y luego creó el primer prototipo de la herramienta el mes siguiente. En abril, también pasó del despliegue exclusivo de LockBit al despliegue dual de LockBit/Warlock en un lapso de 48 horas.

Si bien posteriormente se registró como afiliado de LockBit, el trabajo continuó en su propio ransomware hasta que se lanzó formalmente bajo la marca Warlock en junio. Semanas más tarde, se observó que el actor de la amenaza aprovechaba el exploit ToolShell como zero-day mientras también desplegaba el ransomware Babuk a partir del 21 de julio de 2025.

“La rápida evolución del grupo en abril desde el despliegue exclusivo de LockBit 3.0 a un despliegue multi-ransomware 48 horas después, seguido por el despliegue de Babuk en julio, muestra flexibilidad operativa, capacidades de evasión de la detección, tácticas de confusión de la atribución y sofisticada experiencia de construcción utilizando frameworks de ransomware filtrados y de código abierto”, dijo Halcyon.

Fuente original: Ver aquí