Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Marco AK47 C2

Marco AK47 C2

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT)
Traducir a:

Un actor de amenazas recientemente descubierto, identificado como Storm-2603, ha sido vinculado a la explotación de vulnerabilidades de seguridad conocidas en Microsoft SharePoint Server. Se sospecha que este grupo opera desde China y emplea un marco de comando y control (C2) personalizado, denominado AK47 C2 (también conocido como ak47c2), para orquestar sus ataques.

La plataforma C2 AK47 emplea dos métodos de comunicación principales: AK47HTTP (utiliza protocolos HTTP para la comunicación C2) y AK47DNS (aprovecha protocolos DNS para la entrega de comandos encubiertos).

Estos componentes ayudan al malware a recibir y ejecutar comandos en sistemas infectados a través de cmd.exe, según los datos analizados de las respuestas del servidor HTTP o DNS.

Cómo aprovechar las fallas de Microsoft para lograr el máximo impacto

Storm-2603 ha utilizado las vulnerabilidades de SharePoint CVE-2025-49706 y CVE-2025-49704 (también conocidas como ToolShell) para vulnerar redes e implementar cargas útiles maliciosas. Entre estas, destacan familias de ransomware como Warlock (también conocido como X2anylock) y LockBit Black, una combinación inusual que no se observa habitualmente entre los principales operadores de delitos electrónicos.

En uno de los indicadores técnicos clave, una puerta trasera llamada dnsclient.exe, parte de la suite AK47 C2, utiliza comunicación basada en DNS con un dominio falsificado:
update.updatemicfosoft.com, imitando un servidor de actualizaciones de Microsoft para evadir la detección.

Arsenal híbrido: código abierto y cargas útiles personalizadas

El kit de herramientas de Storm-2603 demuestra una combinación de software legítimo y mejoras maliciosas, que incluyen:

Utilidades de uso común:

  • masscan – Para escaneo y reconocimiento de puertos.
  • WinPcap – Herramienta de captura de paquetes de red.
  • SharpHostInfo: recopila información basada en el host.
  • nxc y PsExec – Herramientas de ejecución remota de comandos.

Adiciones maliciosas:

  • 7z.exe y 7z.dll: binarios legítimos de 7-Zip explotados para cargar lateralmente una DLL que distribuye el ransomware Warlock.
  • bbb.msi: un instalador que carga clink_dll_x86.dll a través de clink_x86.exe, lo que finalmente da como resultado la implementación de LockBit Black.

Estas herramientas se utilizan junto con técnicas BYOVD (Bring Your Own Vulnerable Driver) para neutralizar las defensas de los puntos finales, junto con tácticas de carga lateral de DLL, lo que complica aún más la detección y la respuesta.

Alcance geográfico y objetivos turbios

La evidencia sugiere que Storm-2603 ha estado activo desde al menos marzo de 2025, atacando entidades en Latinoamérica y la región Asia-Pacífico (APAC). La estrategia del grupo de combinar familias de ransomware y atacar diversos sectores geográficos plantea interrogantes sobre sus objetivos finales.

Aunque sus motivaciones siguen siendo turbias, los paralelismos con otros actores de estados nacionales (en particular de China, Irán y Corea del Norte) que han empleado ransomware en operaciones geopolíticas sugieren que Storm-2603 podría estar en la línea entre el espionaje y el crimen con motivaciones financieras.

El nexo entre la APT y la delincuencia: una preocupación creciente

La tormenta 2603 ejemplifica una tendencia creciente de actores de amenazas híbridos, aquellos que combinan técnicas tradicionales de amenazas persistentes avanzadas (APT) con operaciones de ransomware. Entre las tácticas más destacadas se incluyen:

Aspectos tácticos destacados:

  • Uso de secuestro de DLL para distribuir múltiples cepas de ransomware.
  • BYOVD para desmantelar las herramientas de protección de puntos finales.
  • Dependencia de herramientas de código abierto para lograr sigilo y escalabilidad.

El uso por parte del grupo de la misma infraestructura para alojar shells web (como spinstall0.aspx) y facilitar las comunicaciones C2 subraya la creciente sofisticación de los ciberataques modernos.

Las operaciones de Storm-2603 revelan una peligrosa evolución del ciberdelito, donde las líneas borrosas entre el espionaje patrocinado por el Estado y las campañas de malware con fines de lucro hacen que la atribución, la defensa y la respuesta sean significativamente más complejas.

Tendencias

Documento compartido: estafa por correo electrónico...

Suplantación de identidad (phishing), Correo basura
Expertos en ciberseguridad han identificado una campaña de spam maliciosa que incluye correos electrónicos fraudulentos titulados "Documento compartido: propuesta comercial y lista de productos". Estos mensajes engañosos afirman que el destinatario ha recibido una propuesta comercial y detalles del producto, pero en realidad están diseñados para robar credenciales de inicio de sesión...

Mas Visto

Cargando...