Os pesquisadores da Unidade 42 identificaram sobreposições significativas entre a cadeia de exploração ToolShell relatada pela Microsoft visando vulnerabilidades do SharePoint e um cluster de atividades rastreadas apelidado de CL-CRI-1040.
Esse cluster, ativo desde pelo menos março de 2025, implanta um pacote de malware personalizado chamado Projeto AK47, composto por backdoors multiprotocolo, ransomwaree carregadores de carregamento lateral DLL.
A análise da Microsoft atribui a atividade ao Storm-2603, um suspeito de ser um agente de ameaças baseado na China, com links de alta confiança estabelecidos por meio de artefatos baseados em host e rede.
Sobreposições na atividade de ameaças
As operações financeiramente motivadas do CL-CRI-1040 incluem associações anteriores com afiliados do LockBit 3.0 e o site de dupla extorsão Warlock Client, embora os laços de espionagem não possam ser descartados devido ao envolvimento simultâneo de atores.
A análise retrospectiva revela a implantação de um Backdoor do IIS comumente mal utilizado em comunidades de língua chinesa, sugerindo ainda um potencial nexo chinês, enquanto evidências como Tox IDs compartilhados o vinculam a campanhas de ransomware.
O Projeto AK47, nomeado após caminhos de arquivos PDB recorrentes, engloba subprojetos como AK47C2, um backdoor que suporta protocolos DNS e HTTP via componentes dnsclient e httpclient e AK47 ransomware, publicamente conhecido como X2ANYLOCK devido à sua extensão de arquivo .x2anylock.
Um arsenal versátil de malware
O dnsclient evolui entre as versões: as primeiras iterações 202503 usam JSON codificado em XOR em subdomínios como update.updatemicfosoft[.]com, fragmentando dados para contornar os limites de consulta DNS, enquanto 202504 simplifica para formatos não JSON com chaves de sessão para execução de comando confiável e exfiltração de resultados.
Httpclient espelha isso com HTTP POSTs baseados em curl de cargas JSON codificadas. O ransomware emprega criptografia híbrida AES-RSA, encerra processos, enumera unidades e descarta notas com um Tox ID consistente para negociações.
De acordo com a Unit42 relatório, apresenta evasão por meio de verificações de carimbo de data/hora em objetos específicos, autoterminando após 6 de junho de 2026. Os carregadores abusam do sideload de DLL com executáveis legítimos, como 7z.exe, para invocar pontos de entrada de ransomware.
Ferramentas adicionais em arquivos, incluindo PyPyKatz, SharpHostInfo, Masscan e PsExec, indicam um amplo kit de ferramentas de hacking, com droppers LockBit 3.0 confirmando links de afiliados.
A mudança do CL-CRI-1040 do LockBit 3.0 para as operações do Warlock Client, evidenciada por bancos de dados vazados e Tox IDs compartilhados, ressalta suas motivações financeiras, embora o relatório Storm-2603 da Microsoft observe implantações anteriores de ransomware Warlock sem sobreposições binárias diretas.
A cadeia do ToolShell explora CVEs como CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 e CVE-2025-53771 para entregar essas cargas úteis.
As proteções da Palo Alto Networks, incluindo Advanced WildFire para análise de malware, Advanced URL Filtering e DNS Security para domínios maliciosos e Cortex XDR/XSIAM para defesa de endpoint, mitigam essas ameaças.
Esse cluster em evolução destaca colaborações complexas de atores, combinando crimes cibernéticos com possíveis elementos patrocinados pelo Estado.
Indicadores de comprometimento
| SHA256 Hash | Descrição do malware |
|---|---|
| ceec1a2df81905f68c7ebe986e378fec0805aebdc13de09a4033be48ba66da8b | AK47C2: dnsclient |
| 24480dbe306597da1ba393b6e30d542673066f98826cc07ac4b9033137f37dbf | AK47C2: cliente http |
| c27b725ff66fdfb11dd6487a3815d1d1eba89d61b0e919e4d06ed3ac6a74fe94 | AK47C2: dnsclient |
| 79bef5da8af21f97e8d4e609389c28e0646ef81a6944e329330c716e19f33c73 | AK47 Ransomware |
| 55a246576af6f6212c26ef78be5dd8f83e78dd45aea97bb505d8cee1aeef6f17 | AK47 Ransomware |
| a919844f8f5e6655fd465be0cc0223946807dd324fcfe4ee93e9f0e6d607061e | AK47 Ransomware |
| f711b14efb7792033b7ac954ebcfaec8141eb0abafef9c17e769ff96e8fecdf3 | AK47 Ransomware |
| 1d85b18034dc6c2e9d1f7c982a39ca0d4209eb6c48ace89014924eae6532e6bc | Carregador |
| 7e9632ab1898c47c46d68b66c3a987a0e28052f3b59d51c16a8e8bb11e386ce8 | Carregador |
| 7c31d43b30bda3a891f0332ee5b1cf610cdc9ecf772cea9b073ac905d886990d | Carregador |
| 0f4b0d65468fe3e5c8fb4bb07ed75d4762e722a60136e377bdad7ef06d9d7c22 | PyPyKatz |
| d6da885c90a5d1fb88d0a3f0b5d9817a82d5772d5510a0773c80ca581ce2486d | SharpHostInfo |
| abb0fa128d3a75e69b59fe0391c1158eb84a799ddb0abc55d2d6be3511ef0ea1 | AK47 Ransomware |
| 5cc047a9c5bb2aa6a9581942b9d2d185815aefea06296c8195ca2f18f2680b3e | Masscan |
| f01675f9ca00da067bdb1812bf829f09ccf5658b87d3326d6fddd773df352574 | SharpAdidnsdump |
| edfae1a69522f87b12c6dac3225d930e4848832e3c551ee1e7d31736bf4525ef | PsExec |
| 078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b | PsExec |
| dbf5ee8d232ebce4cd25c0574d3a1ab3aa7c9caf9709047a6790e94d810377de | LockBit 3.0 |
| 3b013d5aec75bf8aab2423d0f56605c3860a8fbd4f343089a9a8813b15ecc550 | Conta-gotas LockBit 3.0 |
| 7638069eeccf3cd7026723d794a7fd181c9fe02cecc1d1a98cf79b8228132ef5 | IIS_backdoor |
| 6f6db63ece791c6dc1054f1e1231b5bbcf6c051a49bad0784569271753e24619 | IIS_backdoor |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça