Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Cadre AK47 C2

Cadre AK47 C2

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT)
Se traduisent par :

Un acteur malveillant récemment découvert, identifié sous le nom de Storm-2603, a été associé à l'exploitation de vulnérabilités de sécurité connues dans Microsoft SharePoint Server. Ce groupe est soupçonné d'opérer depuis la Chine et d'utiliser un système de commandement et de contrôle (C2) personnalisé, baptisé AK47 C2 (également appelé ak47c2), pour orchestrer ses attaques.

La plate-forme AK47 C2 utilise deux méthodes de communication principales : AK47HTTP (utilise les protocoles HTTP pour la communication C2) et AK47DNS (exploite les protocoles DNS pour la livraison de commandes secrètes).

Ces composants aident le logiciel malveillant à recevoir et à exécuter des commandes sur les systèmes infectés via cmd.exe, en fonction des données analysées à partir des réponses du serveur HTTP ou DNS.

Exploiter les failles de Microsoft pour un impact maximal

Storm-2603 a exploité les vulnérabilités SharePoint CVE-2025-49706 et CVE-2025-49704 (également appelées ToolShell) pour pénétrer les réseaux et déployer des charges utiles malveillantes. Parmi celles-ci figurent principalement des familles de rançongiciels comme Warlock (alias X2anylock) et LockBit Black, une combinaison inhabituelle, rarement observée chez les acteurs de la cybercriminalité traditionnelle.

Dans l'un des indicateurs techniques clés, une porte dérobée nommée dnsclient.exe, faisant partie de la suite AK47 C2, utilise une communication basée sur DNS avec un domaine usurpé :
update.updatemicfosoft.com, imitant un serveur de mise à jour Microsoft pour échapper à la détection.

Arsenal hybride : l’open source rencontre les charges utiles personnalisées

La boîte à outils de Storm-2603 présente un mélange de logiciels légitimes et d'améliorations malveillantes, notamment :

Utilitaires couramment utilisés :

  • masscan – Pour la numérisation et la reconnaissance des ports.
  • WinPcap – Outil de capture de paquets réseau.
  • SharpHostInfo – Collecte des informations basées sur l’hôte.
  • nxc et PsExec – Outils d’exécution de commandes à distance.

Ajouts malveillants :

  • 7z.exe et 7z.dll : des binaires 7-Zip légitimes exploités pour charger latéralement une DLL qui fournit le ransomware Warlock.
  • bbb.msi : un programme d'installation qui charge clink_dll_x86.dll via clink_x86.exe, ce qui aboutit finalement au déploiement de LockBit Black.

Ces outils sont utilisés en conjonction avec les techniques BYOVD (Bring Your Own Vulnerable Driver) pour neutraliser les défenses des points de terminaison, ainsi que les tactiques de chargement latéral de DLL, ce qui complique encore davantage la détection et la réponse.

Portée géographique et objectifs obscurs

Les données suggèrent que Storm-2603 est actif depuis au moins mars 2025, ciblant des entités en Amérique latine et dans la région Asie-Pacifique (APAC). La stratégie du groupe, qui consiste à combiner des familles de rançongiciels et à cibler divers secteurs géographiques, soulève des questions quant à ses objectifs ultimes.

Bien que leurs motivations restent obscures, les parallèles avec d’autres acteurs étatiques (notamment de Chine, d’Iran et de Corée du Nord) qui ont utilisé des ransomwares dans des opérations géopolitiques suggèrent que Storm-2603 pourrait se situer à la frontière entre l’espionnage et la criminalité à motivation financière.

Le lien entre APT et criminalité : une préoccupation croissante

La tempête 2603 illustre la tendance croissante des acteurs de menaces hybrides, qui combinent les techniques traditionnelles de menaces persistantes avancées (APT) avec des opérations de rançongiciel. Parmi les tactiques les plus remarquables, on peut citer :

Points forts tactiques :

  • Utilisation du détournement de DLL pour diffuser plusieurs souches de ransomware.
  • BYOVD pour démanteler les outils de protection des terminaux.
  • Dépendance aux outils open source pour la furtivité et l’évolutivité.

L'utilisation par le groupe de la même infrastructure pour héberger des shells Web (comme spinstall0.aspx) et faciliter les communications C2 souligne la sophistication croissante des cyberattaques modernes.

Les opérations de Storm-2603 révèlent une évolution dangereuse de la cybercriminalité, où les frontières floues entre l'espionnage parrainé par l'État et les campagnes de logiciels malveillants à but lucratif rendent l'attribution, la défense et la réponse beaucoup plus complexes.

Tendance

Document partagé – Proposition commerciale et liste...

Hameçonnage, Courrier indésirable
Des experts en cybersécurité ont identifié une campagne de spam malveillante impliquant des e-mails frauduleux intitulés « Document partagé – Proposition commerciale et liste de produits ». Ces messages trompeurs prétendent avoir reçu une proposition commerciale et des informations sur les produits associés, mais en réalité, ils visent à voler des identifiants de connexion sensibles. Il est...

Le plus regardé

Chargement...