O agrupamento usou infraestrutura ligada a update.updatemicfosoft[.]com, canais C2 por DNS e HTTP, abuso de driver assinado e implantação simultânea de LockBit Black e Warlock/X2anylock em intrusões observadas desde março de 2025.
| Componente | Microsoft SharePoint Server exposto à cadeia ToolShell, hosts Windows pós-comprometimento e framework malicioso ak47c2 com clientes DNS e HTTP. |
| Vetor | Exploração de CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 e CVE-2025-53771, seguida por execução de backdoors, ferramentas abertas e cargas de ransomware em ambientes comprometidos. |
| Impacto | Execução remota e movimentação pós-exploração com comando via cmd.exe, tunelamento DNS, C2 HTTP, desativação de proteções por BYOVD e criptografia por LockBit Black e Warlock/X2anylock. |
| Prioridade | Corrigir servidores SharePoint vulneráveis, caçar artefatos de ak47c2, bloquear infraestrutura conhecida, revisar uso de drivers suspeitos e isolar hosts com notas de resgate ou extensão .x2anylock. |
| Artefatos | Domínios update.updatemicfosoft[.]com e update.micfosoft[.]com, caminhos PDB C:\Users\Administrator\Desktop\work\tools\ak47c2\dnsclinet-c\dnsclient\x64\Release\dnsclient.pdb e C:\Users\Administrator\Desktop\work\tools\ak47c2\httpclient-cpp\x64\Release\httpclient-cpp.pdb. |
| IoCs | Arquivo Evidencia.rar, nota How to decrypt my data.log, nota How to decrypt my data.txt, nota .README.txt, serviço ServiceMouse, driver ServiceMouse.sys e driver legítimo original AToolsKrnl64.sys. |
| Mitigação | Aplicar correções de SharePoint, retirar exposição desnecessária, investigar DnsQuery_A para registros TXT e MG anômalos, bloquear execução de MSI suspeito e auditar criação de serviços de kernel. |
Storm-2603 aparece como um agrupamento de ameaça associado à exploração ativa de servidores Microsoft SharePoint Server por meio da cadeia conhecida como ToolShell. A atividade envolve quatro vulnerabilidades identificadas como CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 e CVE-2025-53771, usadas contra instâncias de SharePoint para obter execução e abrir caminho para operações pós-comprometimento. O elemento mais relevante para defesa é que a campanha não ficou limitada à exploração inicial: os operadores conectaram servidores comprometidos a backdoors próprios, reutilizaram infraestrutura já ativa desde pelo menos março de 2025 e entregaram ransomware em fases posteriores da intrusão.
A análise técnica dos artefatos vinculados ao agrupamento mostra um conjunto operacional híbrido. Há ferramentas abertas usadas em muitas intrusões Windows, como PsExec para execução remota e masscan para varredura, mas também há componentes personalizados. O framework ak47c2, identificado por caminhos PDB incorporados aos binários, inclui pelo menos dois clientes de comando e controle: um canal baseado em DNS, chamado no próprio caminho de compilação de dnsclinet, e um cliente HTTP. Ambos executam comandos por cmd.exe /c 2>&1, retornam saída para o operador e ocultam a janela de console após a inicialização, reduzindo a visibilidade para o usuário interativo.
O encadeamento operacional também inclui ransomware. Em incidentes anteriores ligados à mesma infraestrutura, foram observadas cargas LockBit Black e Warlock/X2anylock, em alguns casos implantadas juntas contra o mesmo alvo. A presença de múltiplas famílias em uma única operação altera a prioridade de resposta: a equipe não deve tratar a primeira nota de resgate encontrada como evidência de um único operador ou de uma única carga. O ambiente precisa ser analisado em busca de backdoors persistentes, ferramentas de movimentação lateral, serviços de driver e binários auxiliares antes da restauração de sistemas.
A atribuição deve ser tratada com limites claros. Storm-2603 foi descrito como um agrupamento novo ou pouco documentado em relação a outros atores já conhecidos que exploraram ToolShell. Há sobreposição de infraestrutura e de TTPs com operações de ransomware, mas os artefatos disponíveis sustentam melhor uma conclusão operacional do que uma atribuição estratégica ampla. Para equipes de inteligência de ameaças, o ponto defensivo é correlacionar exploração de SharePoint, consultas DNS codificadas, C2 HTTP simples, abuso de driver assinado e implantação de ransomware, sem depender apenas do nome do ator para priorizar contenção.
A intrusão começa com servidores SharePoint vulneráveis explorados pela cadeia ToolShell. Após o acesso inicial, os operadores podem posicionar ferramentas em hosts Windows e acionar componentes de execução remota, reconhecimento e controle. Um arquivo RAR chamado Evidencia.rar, enviado a um serviço de análise em abril de 2025, continha artefatos compatíveis com máquinas comprometidas em um caso na América Latina. O conjunto expunha ferramentas abertas, backdoors personalizados e cargas de ransomware, sugerindo que a operação seguia uma sequência prática: obter acesso, reconhecer domínio e host, estabelecer C2, enfraquecer proteções e então executar criptografia.
O cliente DNS do ak47c2 é um binário de console de 64 bits que oculta a própria janela, coleta o nome do computador e usa unknown.local quando a obtenção falha. Em seguida, monta identificadores de sessão de cinco caracteres e diferencia requisições de tarefa e uploads de resultado com prefixos numéricos. Os elementos do pacote, incluindo marcador de tarefa ou resultado, indicador de tamanho e nome do host, são cifrados por XOR com a chave ASCII VHBD@H, convertidos para hexadecimal e concatenados como rótulos DNS antes do domínio update.micfosoft[.]com. Esse desenho permite transportar comandos e respostas dentro de consultas que podem parecer tráfego DNS, mas a estrutura repetitiva dos rótulos hexadecimais é caçável.
A comunicação DNS usa chamadas DnsQuery_A para consultas de registros TXT e MG. Quando o C2 não responde, o cliente recebe o erro 9003, associado a DNS_ERROR_RCODE_NAME_ERROR; quando há resposta, o conteúdo é decodificado de hexadecimal, decifrado por XOR e dividido pelo delimitador ::: para separar metadados do comando. Saídas maiores que 0xFF bytes são fragmentadas em subsegmentos de 63 bytes, o que reduz o tamanho de cada consulta e facilita o transporte por DNS. Para defesa, o comportamento combina três sinais: uso incomum de MG, sequência de rótulos hexadecimais e alta cadência de consultas para domínios visualmente parecidos com nomes de fornecedores legítimos.
O cliente HTTP do ak47c2 segue lógica semelhante, mas troca o túnel DNS por requisições POST para /. O binário também é um console de 64 bits que oculta a janela e coleta o nome do host. Ele monta objetos com campos como cmd, cmd_id, fqdn, result e type; requisições de tarefa usam type como task, enquanto resultados retornam com type como result. Antes do envio, o objeto completo é cifrado com XOR usando VHBD@H, transformado em hexadecimal e colocado no corpo da requisição com Content-Type: text/plain e Accept: */*. O servidor responde com JSON codificado da mesma forma, contendo o próximo comando a executar.
Na fase de impacto, foram observadas implantações simultâneas de ransomware. Uma carga corresponde a LockBit Black, enquanto outra usa a extensão .x2anylock, associada posteriormente à operação Warlock. As notas de resgate aparecem com nomes como How to decrypt my data.log, How to decrypt my data.txt e .README.txt. A execução conjunta de variantes aumenta a chance de criptografia sobreposta e complica análise de escopo, porque arquivos, notas e processos podem refletir mais de uma cadeia de payload. Também foi citado uso de hijacking de DLL para implantação, o que exige revisar diretórios de aplicação, carregamento de bibliotecas e binários assinados usados como hospedeiros.
Outro componente crítico é o Antivirus Terminator, uma ferramenta de linha de comando que abusa de um driver legítimo assinado por terceiro para encerrar processos. O utilitário exige privilégios administrativos, cria um serviço chamado ServiceMouse apontando para ServiceMouse.sys e conversa com o serviço por códigos de controle de I/O. O código 0x99000050 é usado para matar processos, enquanto 0x990000D0 e 0x990001D0 aparecem associados a remoção de arquivos e desinstalação de drivers. O driver fornecido corresponde a um componente legítimo do Antiy System In-Depth Analysis Toolkit, originalmente AToolsKrnl64.sys, reaproveitado em uma técnica BYOVD para interferir em ferramentas de segurança.
A superfície primária inclui servidores Microsoft SharePoint Server vulneráveis às falhas ToolShell e expostos de forma acessível ao atacante. A ausência de versão específica no material analisado impede limitar o risco a um ramo de produto ou compilação, portanto a triagem deve partir do inventário real: instâncias publicadas na internet, servidores acessíveis por VPN, front-ends de fazenda SharePoint, nós com integrações de autenticação e servidores que receberam tráfego incomum antes da correção. Qualquer host SharePoint que tenha ficado exposto durante a janela de exploração deve ser tratado como potencial ponto de entrada até que logs, arquivos e memória confirmem o contrário.
A superfície secundária é o domínio Windows alcançável a partir do servidor inicial. O uso de PsExec, comandos por cmd.exe, backdoors de console e ferramentas de varredura indica interesse em execução remota, reconhecimento de rede e movimentação lateral. Contas de serviço do SharePoint, credenciais armazenadas em servidores, permissões excessivas de administradores locais e compartilhamentos acessíveis a partir do servidor comprometido devem ser considerados ativos em risco. Em ambientes onde o SharePoint tem integração com armazenamento, fluxos de trabalho ou sistemas internos, a exploração inicial pode fornecer ao operador caminhos indiretos para dados e hosts que não estavam expostos publicamente.
Hosts Windows com capacidade de carregar driver de kernel também entram no escopo, especialmente quando há privilégios administrativos locais. A criação do serviço ServiceMouse e o carregamento de ServiceMouse.sys indicam que a operação pode tentar encerrar agentes de endpoint antes da criptografia. Esse comportamento não depende apenas de vulnerabilidade no SharePoint; ele depende da progressão até privilégios suficientes no host. Por isso, a mitigação precisa combinar correção do ponto de entrada com controle de privilégios, política de bloqueio de drivers vulneráveis e auditoria de criação de serviços.
Os alvos observados incluem organizações na América Latina e na região APAC durante o primeiro semestre de 2025. Esse recorte não deve ser usado como exclusão para outras regiões, pois a infraestrutura e as cargas são reaproveitáveis. A presença de um caso associado a país latino-americano reforça a necessidade de equipes no Brasil tratarem os indicadores como operacionalmente relevantes quando houver SharePoint exposto, telemetria DNS disponível e endpoints Windows com sinais de execução remota.
- Servidores Microsoft SharePoint Server com exposição externa ou acesso remoto durante a janela de exploração de
CVE-2025-49704,CVE-2025-49706,CVE-2025-53770eCVE-2025-53771. - Hosts Windows que executaram binários de console desconhecidos, arquivos MSI suspeitos,
PsExec,masscanou comandos filhos decmd.exeoriginados de caminhos temporários ou administrativos. - Ambientes com criação do serviço
ServiceMouse, presença deServiceMouse.sys, uso do driverAToolsKrnl64.sysfora de instalação legítima e eventos de término anormal de processos de segurança. - Compartilhamentos, servidores de arquivos e estáções alcançáveis a partir do SharePoint, principalmente quando há notas
How to decrypt my data.log,How to decrypt my data.txtou.README.txt.
A caça deve começar pelo ponto de entrada. Em servidores SharePoint, revise logs HTTP, eventos de aplicação, criação de arquivos recentes, processos filhos inesperados e conexões de saída logo após requisições anômalas. A exploração ToolShell deve ser investigada com base nos CVEs envolvidos e na telemetria local de SharePoint, mas a confirmação de comprometimento depende de sinais pós-exploração: execução de shell, escrita de binários, conexões para domínios de C2 e atividade de reconhecimento no domínio. Quando a correção já foi aplicada, a ausência de novas requisições maliciosas não elimina a possibilidade de backdoors implantados antes do patch.
No DNS, procure consultas para update.updatemicfosoft[.]com e update.micfosoft[.]com, além de domínios visualmente similares a fornecedores legítimos escritos com erros. O cliente DNS do ak47c2 usa rótulos codificados em hexadecimal e pode consultar tipos TXT e MG. Registros MG são raros em muitas redes corporativas, o que torna o tipo de consulta um sinal útil quando combinado com destino suspeito, volume repetitivo e origem em servidor Windows que normalmente não realiza esse padrão. A fragmentação de resultados em blocos pequenos também pode gerar várias consultas em sequência para o mesmo domínio.
No endpoint, correlacione processos cmd.exe com redirecionamento de saída, especialmente quando o pai é um binário desconhecido de 64 bits sem janela visível. A execução de cmd.exe /c 2>&1 é uma característica operacional dos clientes do ak47c2 e pode aparecer junto de comandos de reconhecimento, cópia de arquivos, execução remota e implantação de payload. Caminhos PDB não aparecem em todos os binários em produção, mas quando presentes em amostras ou artefatos forenses, as strings ak47c2, dnsclinet-c, dnsclient.pdb e httpclient-cpp.pdb são indicadores fortes de família.
Para ransomware, a telemetria deve cobrir criação massiva de arquivos com extensão .x2anylock, notas de resgate e execução de múltiplos binários de criptografia em uma janela curta. A coexistência de LockBit Black e Warlock/X2anylock exige classificar o incidente pelo comportamento observado, não apenas por uma família. Em logs de EDR, procure término de processos de segurança antes do início da criptografia, carregamento de driver de kernel, criação de serviço e execução de ferramentas administrativas usadas fora do fluxo normal da equipe de TI.
- Consultas DNS TXT ou MG com rótulos hexadecimais repetitivos para
update.micfosoft[.]comouupdate.updatemicfosoft[.]com. - Requisições HTTP
POSTpara/com corpo textual hexadecimal,Content-Type: text/plain,Accept: */*e origem em servidor que não deveria executar cliente externo desconhecido. - Processos
cmd.exedisparados por binários não reconhecidos, com padrão de execuçãocmd.exe /c 2>&1e coleta de saída para retorno ao C2. - Strings ou caminhos PDB contendo
C:\Users\Administrator\Desktop\work\tools\ak47c2\,dnsclinet-c,dnsclient.pdbouhttpclient-cpp.pdb. - Criação do serviço
ServiceMouse, carregamento deServiceMouse.sys, presença deAToolsKrnl64.sysfora do toolkit legítimo e uso dos códigos0x99000050,0x990000D0ou0x990001D0. - Notas
How to decrypt my data.log,How to decrypt my data.txtou.README.txt, extensão.x2anylocke execução simultânea de cargas de ransomware distintas.
A resposta deve priorizar contenção do ponto de entrada e preservação de evidências. Servidores SharePoint vulneráveis precisam receber as correções aplicáveis para CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 e CVE-2025-53771, mas a ação não deve terminar no patch. Sistemas expostos durante a janela de ataque devem ser isolados ou colocados sob monitoramento reforçado, com coleta de logs, cópias de artefatos suspeitos, listagem de processos, tarefas agendadas, serviços, web roots e conexões de rede. Se houver indício de execução remota, trate o servidor como comprometido e investigue credenciais usadas nele.
Em paralelo, bloqueie a infraestrutura conhecida em DNS, proxy e firewall, incluindo update.updatemicfosoft[.]com e update.micfosoft[.]com, preservando logs para análise retroativa. Como os domínios podem mudar, crie detecções comportamentais para consultas TXT e MG com rótulos hexadecimais, HTTP POST com corpos codificados e execução de cmd.exe por binários sem reputação. A mitigação efetiva precisa combinar indicadores estáticos com regras de comportamento, porque o framework ak47c2 usa padrões simples que podem ser recompilados com novos domínios.
Nos endpoints, investigue e remova componentes BYOVD. A presença de ServiceMouse ou ServiceMouse.sys deve acionar isolamento do host, coleta do driver, verificação de assinatura, revisão de eventos de controle de serviço e busca por processos encerrados antes da criptografia. Ative políticas de bloqueio de drivers vulneráveis ou não autorizados quando disponíveis no ambiente Windows, restrinja privilégios administrativos locais e revise exceções de EDR que permitam carregamento de drivers por ferramentas não aprovadas. Onde houver sinais de ransomware, priorize desligamento controlado de compartilhamentos e contenção de credenciais antes de restauração.
Após conter a intrusão, execute rotação de credenciais expostas no servidor SharePoint e em contas administrativas usadas durante o período suspeito. Revise tokens, contas de serviço, segredos de integração e permissões de compartilhamento acessíveis a partir do host comprometido. A restauração deve partir de backups verificados e de imagens limpas, com validação de que backdoors, serviços de driver e tarefas persistentes não foram restaurados junto com os dados. A lição operacional é tratar ToolShell como vetor inicial de uma cadeia completa de ransomware e não como evento isolado de vulnerabilidade.
- Aplicar correções de SharePoint para os CVEs ToolShell e remover exposição desnecessária de servidores que não precisam estar acessíveis externamente.
- Isolar servidores SharePoint com sinais de exploração, coletar artefatos forenses e revisar processos filhos, arquivos novos, serviços, tarefas agendadas e conexões de saída.
- Bloquear
update.updatemicfosoft[.]comeupdate.micfosoft[.]com, mantendo consultas históricas para identificar hosts que se comunicaram com a infraestrutura. - Criar detecções para DNS TXT/MG anômalo, rótulos hexadecimais, HTTP POST com corpo hexadecimal e execução de
cmd.exe /c 2>&1por binários desconhecidos. - Auditar criação do serviço
ServiceMouse, presença deServiceMouse.sys, carregamento deAToolsKrnl64.syse eventos de término de agentes de segurança. - Rotacionar credenciais de contas de serviço e administrativas usadas em SharePoint, validar backups antes de restaurar e caçar notas de resgate ou extensão
.x2anylockem compartilhamentos.
0 Comentários