Китайская группа Storm-2603 активно использует кастомные бэкдоры и множественные ransomware-семейства в атаках на корпоративный сектор

Активность Storm-2603 впервые была зафиксирована в марте 2025 года, когда группа использовала домен update.updatemicfosoft[.]com в качестве C2-сервера. Этот же домен применялся для распространения ransomware-семейств LockBit Black и Warlock (также известного как x2anylock). Атаки проводились как против компаний в Азиатско-Тихоокеанском регионе (APAC), так и в Латинской Америке.

Особенностью атак Storm-2603 является одновременное использование нескольких ransomware-семейств, что повышает шансы на успешное шифрование данных. Например, в одном из инцидентов, зафиксированном в апреле 2025 года, злоумышленники загрузили на зараженные машины архивы, содержащие как легитимные утилиты (masscan, PsExec, SharpHostInfo), так и вредоносные компоненты. Среди них была программа dnsclient.exe - бэкдор, использующий DNS-туннелирование для связи с C2-сервером. Также в инфицированных системах обнаруживались поддельные DLL-библиотеки, подменяющие компоненты 7z.exe и clink_x86.exe, что приводило к запуску Warlock и LockBit Black.

В другом случае злоумышленники использовали MSI-инсталлятор, который развертывал сразу три варианта ransomware через технику DLL-хиджинга, а также специализированный инструмент для отключения антивирусного ПО - так называемый Antivirus Terminator. Последний использует уязвимый драйвер ServiceMouse.sys, легально подписанный китайской компанией Antiy Labs, для завершения процессов защитных решений.

Группа Storm-2603 активно применяет методы, характерные для многих ransomware-операторов, включая эксплуатацию открытых инструментов для удаленного выполнения кода (PsExec) и сетевого сканирования (masscan). Однако их кастомные разработки, такие как бэкдоры на основе DNS и HTTP, а также мульти-распределение ransomware, делают их особенно опасными для корпоративных сетей.

В настоящее время активность Storm-2603 остается высокой, и эксперты ожидают новых атак с использованием аналогичных тактик. Компаниям рекомендуется усилить мониторинг подозрительных DNS-запросов и необычной активности, связанной с подменой системных библиотек.

Domains

• microsfot.org
• updatemicfosoft.com

SHA256

• 035998b724044d20d583fffa393907c7fef11ad8b93b4d423ad8cb8e53f248b7
• 0f4b0d65468fe3e5c8fb4bb07ed75d4762e722a60136e377bdad7ef06d9d7c22
• 1eb914c09c873f0a7bcf81475ab0f6bdfaccc6b63bf7e5f2dbf19295106af192
• 24480dbe306597da1ba393b6e30d542673066f98826cc07ac4b9033137f37dbf
• 257fed1516ae5fe1b63eae55389e8464f47172154297496e6f4ef13c19a26505
• 3b013d5aec75bf8aab2423d0f56605c3860a8fbd4f343089a9a8813b15ecc550
• 55a246576af6f6212c26ef78be5dd8f83e78dd45aea97bb505d8cee1aeef6f17
• 7c31d43b30bda3a891f0332ee5b1cf610cdc9ecf772cea9b073ac905d886990d
• 8f58da414ec4cdad2f6ac86c19e0a806886c63cfdf1fbbb5a0713dce8a0164c5
• aa25646ea17ae33285203c225386304de1fe4155be44bb86deb154b87b47e3fb
• abb0fa128d3a75e69b59fe0391c1158eb84a799ddb0abc55d2d6be3511ef0ea1
• aca888bbb300f75d69dd56bc22f87d0ed4e0f6b8ed5421ef26fc3523980b64ad
• b5a78616f709859a0d9f830d28ff2f9dbbb2387df1753739407917e96dadf6b0
• c27b725ff66fdfb11dd6487a3815d1d1eba89d61b0e919e4d06ed3ac6a74fe94
• ceec1a2df81905f68c7ebe986e378fec0805aebdc13de09a4033be48ba66da8b
• d6da885c90a5d1fb88d0a3f0b5d9817a82d5772d5510a0773c80ca581ce2486d
• dbf5ee8d232ebce4cd25c0574d3a1ab3aa7c9caf9709047a6790e94d810377de
• eaec6b1b23c4450d1d0a7d409d3f21e8a4a171a9e9b82bb8ef2c05a2f7435e9c
• f01675f9ca00da067bdb1812bf829f09ccf5658b87d3326d6fddd773df352574
• f06fe1c3e882092a23002bed3e170da7b64e6b4475acdedea1433a874b10afdf
• f711b14efb7792033b7ac954ebcfaec8141eb0abafef9c17e769ff96e8fecdf3