مجموعة Storm-2603 تنشر بابًا خلفيًا عبر DNS في هجمات Warlock وLockBit

1 أغسطس 2025 | مايسترو نيرو - قسم الاستخبارات التهديدية

ربطت شركة Check Point Research بين الهجمات التي استغلت ثغرات حديثة في خادم Microsoft SharePoint وبين مجموعة تهديدات تُعرف باسم Storm-2603، تستخدم إطارًا خاصًا للتحكم عن بُعد يُسمى AK47 C2.

يشمل هذا الإطار نوعين من العميلات:

• AK47HTTP – تعتمد على بروتوكول HTTP
• AK47DNS – تستخدم استعلامات DNS لإرسال الأوامر واستلامها

ووفقًا لمايكروسوفت، فإن Storm-2603 هي مجموعة يُرجّح انتماؤها للصين، واستخدمت الثغرات في SharePoint (CVE-2025-49706 وCVE-2025-49704، والمعروفة بـToolShell) لنشر برمجيات الفدية Warlock (المعروفة أيضًا باسم X2anylock).

نشاط مزدوج: Warlock وLockBit معًا

أظهر تحليل لبيانات VirusTotal أن المجموعة قد تكون نشطة منذ مارس 2025، وتستهدف منظمات في أمريكا اللاتينية وآسيا والمحيط الهادئ (APAC) بالتوازي.

ما يميّز Storm-2603 هو نشرها لعائلي فدية مختلفين: Warlock وLockBit Black في نفس الهجمات — وهو أمر نادر بين مجموعات الجريمة الإلكترونية التقليدية.

أدوات الهجوم

تستخدم المجموعة مزيجًا من أدوات مفتوحة المصدر وبرامج ويندوز شرعية، منها:

• masscan، WinPcap، PsExec
• SharpHostInfo وnxc لأغراض الاستطلاع
• باب خلفي مخصص باسم dnsclient.exe