Китайская группа Warlock: старый игрок с новыми методами атак

Warlock впервые появился в июне 2025 года, но настоящую известность приобрел после серии атак через уязвимость ToolShell в Microsoft SharePoint (CVE-2025-53770) 19 июля 2025 года. Особенностью этой угрозы стало её происхождение: в отличие от большинства операторов программ-вымогателей, базирующихся в России или странах СНГ, Warlock ассоциируется с китайской группой.

Исследование CheckPoint от 31 июля раскрыло детали деятельности группировки Storm-2603, использовавшей уязвимость ToolShell для развертывания Warlock и другого известного ransomware - LockBit. Группа применяла сложные техники, включая DLL sideloading (техника подгрузки библиотек) - популярный метод среди китайских хакерских группировок. Также использовалась собственная командная инфраструктура, которую сами атакующие называли ak47c2.

Palo Alto Unit 42 в своем анализе отметила, что инструментарий Project AK47, используемый Storm-2603, включал бэкдор, загрузчики и payload (полезную нагрузку) ransomware под названием AK47/Anylock. Примечательно, что группировка использовала легитимное приложение 7zip для подгрузки malicious DLL-библиотеки.

В начале августа Symantec и Carbon Black зафиксировали аналогичные методы при атаке на инжиниринговую компанию на Ближнем Востоке, где также использовалась техника sideloading через 7z.dll. Trend Micro в своих недавних исследованиях предположила, что Warlock может быть rebrand (ребрендингом) более раннего Anylock, поскольку наблюдала добавление расширения .x2anylock к зашифрованным файлам. Также аналитики отметили возможную связь с прекратившей деятельность группировкой Black Basta, обнаружив сходства в тактиках и стиле ведения переговоров.

Наиболее интересные открытия касаются истории группы. В атаках, исследованных Symantec и Carbon Black в августе 2025 года, использовался кастомный инструмент обхода защиты, подписанный украденным цифровым сертификатом от разработчика coolschool. Этот сертификат применялся еще в 2022 году для подписи Cobalt Strike и BYOVD-модулей. Исследователи TeamT5 связывали этот сертификат с APT-группой CamoFei, активной с 2019 года и занимавшейся широким спектром атак - от шпионажа до ransomware.

SentinelOne, называющая эту группу ChamelGang, сообщала об атаках на организации в США, Бразилии, Индии, России, Тайване и Японии, включая Presidency of Brazil и All-India Institute of Medical Sciences. Эти случаи демонстрируют размытие границ между кибершпионажем и киберпреступностью, где ransomware-атаки могут использоваться для сокрытия следов шпионской деятельности.

Эволюция инструментария группы и связи с более ранними атаками свидетельствуют, что стоящие за Warlock actors (акторы) могут быть активны с 2019 года. Разнообразие их операций - от государственного шпионажа до криминальных атак - указывает на возможную модель contracting (подрядной деятельности), когда группа предоставляет услуги различным заказчикам. Участие в ransomware-атаках может служить не только источником дохода, но и способом маскировки шпионских операций.

Феномен участия китайских шпионских групп в ransomware-операциях продолжает развиваться. В феврале 2025 года Symantec и Carbon Black обнаружили доказательства того, что китайская шпионская группа работала аффилиатом с RA World ransomware. Однако Warlock представляет собой иной случай - здесь киберпреступность является не побочной деятельностью, а одним из основных направлений работы группы. Этот тренд требует повышенного внимания со стороны специалистов по безопасности и разработки новых подходов к защите от многовекторных угроз.

SHA256

• 15649e4d246fe6d03dc75ecb4cabe5d1f8723519ed8dd3176e1a97325e827daf
• 24480dbe306597da1ba393b6e30d542673066f98826cc07ac4b9033137f37dbf
• 2c9f0f324e9cca0481162cdc21ee9b60a7541941a33af99113d08bbd859d7473
• 6feb5361fd3abd3a7a733c30bfcc2b58fc774ac6aa91a468ce2e31dcffc9d4de
• 8ca7304846c69300237a8577fbeec2720ea9a4bd09cb7fe484a8d5efc79ad073
• 9d52af33c05ea80f9bc47404b02ace4e16203dd81aef9021924885a6bff1d3c1
• 9f2434d5f8d042323cc7964520d99bda661bb23ce505cb03c8a07758bc9397a6
• bba75dc056ef7f9c4ade39b32174c5980233fc1551c41aca9487019191764bac
• ca2c02f592d72cafc218f4edd1ea771f8d1458cb95c2c76c3e384e63cefd1fb6
• e23d5cb32a2d62314a8b26a205b634ee968f5a0500c190bc6edb55ec70285eb5
• edcf76600cd11ef7d6a5c319087041abc604e571239fe2dae4bca83688821a3a
• f6ee01303cf1d68015eee49f7dc7f26151a04ae642a47e49c70806931ce652d3