أفادت شركة Check Point Research أن مجموعة التهديد المعروفة باسم ستورم-2603 استغلت ثغرات أمنية تم الكشف عنها مؤخرًا في خوادم Microsoft SharePoint لتوزيع برمجيات فدية خطيرة، مستخدمة إطارًا مخصصًا للتحكم والسيطرة يعرف باسم AK47 C2، ويتضمن نوعين من العملاء: AK47HTTP القائم على بروتوكول HTTP، وAK47DNS الذي يعتمد على نظام أسماء النطاقات DNS.
وبحسب ما ذكرته شركة مايكروسوفت، فإن ستورم-2603 هي جهة تهديد مشتبه بها ويُعتقد أنها تعمل انطلاقًا من الصين، وقد قامت باستغلال ثغرتين هما CVE-2025-49706 وCVE-2025-49704 (المعروفة أيضًا باسم ToolShell)، لنشر برمجية الفدية Warlock المعروفة أيضًا باسم X2anylock.
نمط هجوم غير معتاد يجمع بين Warlock وLockBit
وتشير نتائج تحليل بيانات VirusTotal إلى أن المجموعة شكلت عنقود تهديد جديد لم يُبلغ عنه سابقًا، ويُرجح أنها كانت نشطة منذ مارس 2025 على الأقل، حيث قامت بنشر برمجيات الفدية Warlock وLockBit Black بشكل متزامن، وهو أمر غير شائع بين مجموعات الجريمة الإلكترونية التقليدية.
وذكرت Check Point أن الهجمات استهدفت على الأرجح مؤسسات في أمريكا اللاتينية خلال النصف الأول من عام 2025، بالتوازي مع هجمات أخرى في منطقة آسيا والمحيط الهادئ (APAC).
استخدام أدوات مفتوحة المصدر وأبواب خلفية مخصصة
تستعين المجموعة بأدوات مشروعة مفتوحة المصدر وأخرى من نظام ويندوز، مثل masscan وWinPcap وSharpHostInfo وnxc وPsExec. كما استخدمت بابًا خلفيًا مخصصًا يُعرف باسم dnsclient.exe، يتصل عبر DNS بالنطاق المزيف “update.updatemicfosoft[.]com” لتنفيذ أوامر يتم تلقيها من خادم التحكم والسيطرة.
يعد هذا الباب الخلفي جزءًا من إطار AK47 C2، ويعمل إلى جانب AK47HTTP على جمع معلومات النظام وتحليل الاستجابات الواردة من الخادم سواء عبر DNS أو HTTP، ثم تنفيذها محليًا باستخدام “cmd.exe”. ولم يُعرف بعد مسار الوصول الأولي الذي استخدمته الهجمات.
بنية تحتية خبيثة وأساليب تحميل جانبي متقدمة
رُصدت البنية التحتية المستخدمة أيضًا من قبل مايكروسوفت، والتي أشارت إلى أن الجهة المهاجمة استخدمتها للتواصل مع ملف ويب شل باسم “spinstall0.aspx”. كما تم توزيع ثلاث حمولات خبيثة أخرى:
-
7z.exe و7z.dll: برنامج 7-Zip الأصلي المستخدم لتحميل مكتبة خبيثة بصيغة DLL تُستخدم لتثبيت Warlock
-
bbb.msi: مُثبت يستخدم clink_x86.exe لتحميل مكتبة clink_dll_x86.dll التي تؤدي إلى نشر LockBit Black
-
VMToolsEng.exe: برنامج مخصص لقتل برامج الحماية، يستخدم تقنية “أحضر سائقك الضعيف” (BYOVD) عبر السائق ServiceMouse.sys التابع لشركة Antiy Labs الأمنية الصينية.
اختلاط بين العمليات التجسسية والإجرامية
لا تزال الدوافع الحقيقية لمجموعة ستورم-2603 غير واضحة حتى الآن، ما يصعّب تصنيف نشاطها كونه تجسسًا إلكترونيًا أم هجومًا بدافع الربح. ومع ذلك، تجدر الإشارة إلى أن هناك سوابق لمجموعات تهديد تابعة لدول مثل الصين وإيران وكوريا الشمالية استخدمت برمجيات الفدية كأداة جانبية.
وقالت Check Point: “تستخدم مجموعة ستورم-2603 تقنيات BYOVD لتعطيل الدفاعات الطرفية، إلى جانب تقنيات التحميل الجانبي للملفات لتوزيع عدة أنواع من برمجيات الفدية، ما يطمس الحدود بين نشاطات التجسس المتقدم وجرائم الفدية. كما تعتمد المجموعة على أدوات مفتوحة المصدر مثل PsExec وmasscan، مما يعكس أسلوبًا هجينيًا متطورًا تزايد ظهوره في الهجمات المعقدة.”
