Tehdit aktörleri, Warlock ve LockBit fidye yazılımını dağıtmasıyla bilinen Storm-2603 (aka CL-CRI-1040 veya Gold Salem) tarafından düzenlenen fidye yazılımı saldırılarıyla bağlantılı olarak, açık kaynaklı bir dijital adli tıp ve olay müdahale (DFIR) aracı olan Velociraptor’u kötüye kullanıyor.
Tehdit aktörünün güvenlik aracını kullanımı geçen ay Sophos tarafından belgelendi. Cisco Talos’a göre saldırganların, ilk erişimi elde etmek ve Velociraptor’un ayrıcalık yükseltme güvenlik açığına (CVE-2025-6264) duyarlı eski bir sürümünü (sürüm 0.73.4.0) sunmak için ToolShell olarak bilinen şirket içi SharePoint güvenlik açıklarını silah olarak kullandığı değerlendiriliyor.
Ağustos 2025 ortasındaki saldırıda, tehdit aktörlerinin, etki alanı yönetici hesapları oluşturarak ve güvenliği ihlal edilen ortamda yanal olarak hareket ederek ve ayrıca SMB protokolünü kullanarak programları uzaktan başlatmak için Smbexec gibi araçları çalıştırma erişiminden yararlanarak ayrıcalıkları artırmaya çalıştıkları söyleniyor.
Veri sızmasından ve Warlock, LockBit ve Babuk’un düşürülmesinden önce, saldırganın Active Directory (AD) Grup İlkesi Nesnelerini (GPO’lar) değiştirdiği, sistem savunmasını kurcalamak için gerçek zamanlı korumayı kapattığı ve tespitten kaçtığı tespit edildi. Bulgular, Storm-2603’ün Babuk fidye yazılımının dağıtımıyla ilk kez ilişkilendirildiğine işaret ediyor.
Velociraptor’u 2021’de aldıktan sonra bakımını üstlenen Rapid7, daha önce The Hacker News’e aracın kötüye kullanıldığının farkında olduğunu ve diğer güvenlik ve yönetim araçları gibi yanlış ellere geçtiğinde de kötüye kullanılabileceğini söylemişti.
Rapid7’nin tehdit analitiği kıdemli direktörü Christiaan Beek, bildirilen en son saldırılara yanıt olarak, “Bu davranış, bir yazılım kusurundan ziyade bir kötüye kullanım modelini yansıtıyor: düşmanlar, meşru toplama ve düzenleme yeteneklerini yeniden amaçlara göre yeniden kullanıyorlar.” dedi.
Halcyon’a göre Storm-2603’ün, ToolShell istismarına erken erişimi ve gelişmiş bilgisayar korsanlığı gruplarıyla tutarlı profesyonel düzeyde geliştirme uygulamaları sergileyen yeni örneklerin ortaya çıkması nedeniyle Çinli ulus devlet aktörleriyle bazı bağlantıları paylaştığına inanılıyor.
İlk olarak Haziran 2025’te ortaya çıkan fidye yazılımı ekibi, o zamandan beri LockBit’i hem operasyonel bir araç hem de geliştirme temeli olarak kullanıyor. Warlock’un, LockBit bir ay önce veri sızıntısına uğramadan önce LockBit şemasına “wlteaml” adı altında kayıtlı son bağlı kuruluş olduğunu belirtmekte fayda var.
Şirket, “Warlock, ilişkilendirmeyi karıştırmak, tespitten kaçınmak ve etkiyi hızlandırmak için en başından beri birden fazla fidye yazılımı ailesi kurmayı planladı” dedi. “Warlock, fırsatçı fidye yazılımı ekiplerinin değil, ulus-devlet odaklı tehdit aktörlerinin disiplinini, kaynaklarını ve erişim özelliklerini gösteriyor.”
Halcyon ayrıca tehdit aktörünün, yapılandırılmış ekip iş akışlarını yansıtan özellik eklemeleri için 48 saatlik geliştirme döngülerine de dikkat çekti. Bu merkezi, organize proje yapısının, özel altyapı ve araçlara sahip bir ekip önerdiğini ekledi.
Çin devleti destekli aktörlerle bağları düşündüren diğer önemli hususlar arasında şunlar yer alıyor:
- Zaman damgalarının çıkarılması ve kasıtlı olarak bozulmuş süre sonu mekanizmaları gibi operasyonel güvenlik (OPSEC) önlemlerinin kullanılması
- Fidye yazılımı yüklerinin Çin Standart Saati ile 22:58-22:59’da derlenmesi ve ertesi sabah 01:55’te kötü amaçlı bir yükleyicide paketlenmesi
- Warlock, LockBit ve Babuk konuşlandırmalarında tutarlı iletişim bilgileri ve paylaşılan, yanlış yazılmış alanlar, altyapının fırsatçı yeniden kullanımını değil, uyumlu komuta ve kontrol (C2) operasyonlarını akla getiriyor
Storm-2603’ün geliştirme zaman çizelgesi daha derinlemesine incelendiğinde, tehdit aktörünün AK47 C2 çerçevesi için altyapıyı Mart 2025’te kurduğu ve ardından aracın ilk prototipini bir sonraki ay oluşturduğu ortaya çıktı. Nisan ayında, 48 saatlik bir süre içinde yalnızca LockBit dağıtımından ikili LockBit/Warlock dağıtımına geçiş yapıldı.
Daha sonra LockBit bağlı kuruluşu olarak kaydolmasına rağmen, Haziran ayında Warlock markası altında resmi olarak piyasaya sürülene kadar kendi fidye yazılımı üzerindeki çalışmaları devam etti. Haftalar sonra, tehdit aktörünün 21 Temmuz 2025’ten itibaren Babuk fidye yazılımını dağıtırken aynı zamanda sıfır gün olarak ToolShell istismarından yararlandığı gözlemlendi.
Halcyon, “Grubun Nisan ayında yalnızca LockBit 3.0 dağıtımından 48 saat sonra çoklu fidye yazılımı dağıtımına ve ardından Temmuz ayında Babuk dağıtımına kadar hızlı gelişimi, operasyonel esnekliği, tespitten kaçınma yeteneklerini, ilişkilendirme kafa karışıklığı taktiklerini ve sızdırılmış ve açık kaynaklı fidye yazılımı çerçevelerini kullanan gelişmiş oluşturucu uzmanlığını gösteriyor.” dedi.