Storm-2603 implementa una puerta trasera controlada por DNS en ataques de ransomware Warlock y LockBit
El actor de amenazas vinculado a la explotación de las fallas de seguridad recientemente reveladas en Microsoft SharePoint Server está utilizando un marco de comando y control (C2) a medida llamado AK47 C2 (también escrito ak47c2) en sus operaciones.
El marco incluye al menos dos tipos diferentes de clientes, basados en HTTP y basados en el Sistema de nombres de dominio ( DNS ), que Check Point Research ha denominado AK47HTTP y AK47DNS, respectivamente. La actividad ha sido atribuida a Storm-2603 , que, según Microsoft, es un supuesto actor de amenazas con sede en China que ha aprovechado las fallas de SharePoint (CVE-2025-49706 y CVE-2025-49704, también conocidas como ToolShell) para implementar el ransomware Warlock (también conocido como X2anylock).
Se trata de un grupo de amenazas que no había sido reportado previamente; la evidencia recopilada tras un análisis de los artefactos de VirusTotal muestra que el grupo puede haber estado activo desde al menos marzo de 2025, implementando familias de ransomware como LockBit Black y Warlock juntas, algo que no se observa comúnmente entre grupos de delitos electrónicos establecidos.
