Check Point Research (CPR) đã công bố chi tiết về hoạt động của Storm-2603, một tác nhân đe dọa mới được liên kết với các nhóm APT Trung Quốc. Nhóm này đang tích cực khai thác các lỗ hổng CVE nghiêm trọng trong Microsoft SharePoint Server, được biết đến với tên gọi “ToolShell”. Chiến dịch này tập trung vào việc lợi dụng bốn lỗ hổng quan trọng để xâm nhập hệ thống và triển khai khung lệnh và kiểm soát (C2) tùy chỉnh có tên “ak47c2”.
Phân tích Chiến dịch ToolShell và Nhóm APT Storm-2603
Chiến dịch ToolShell của Storm-2603 khai thác bốn lỗ hổng SharePoint Server quan trọng, bao gồm CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, và CVE-2025-53771. Các lỗ hổng này tạo điều kiện thuận lợi cho việc xâm nhập hệ thống mục tiêu. Sau khi xâm nhập thành công, Storm-2603 triển khai khung C2 tùy chỉnh ak47c2 để duy trì quyền truy cập và thực thi lệnh từ xa.
Khung ak47c2 được cấu thành từ hai thành phần chính: một máy khách dựa trên HTTP có tên “ak47http” và một máy khách dựa trên DNS có tên “ak47dns”. Sự kết hợp này cho phép duy trì quyền truy cập liên tục và thực thi các lệnh trên các hệ thống đã bị xâm nhập.
Phân tích các bản tải lên VirusTotal cho thấy Storm-2603 đã nhắm mục tiêu vào các tổ chức ở Mỹ Latinh vào đầu năm 2025. Điều này diễn ra đồng thời với các cuộc tấn công tại khu vực Châu Á-Thái Bình Dương. Nhóm sử dụng các chiến thuật, kỹ thuật và thủ tục (TTP) phản ánh các hoạt động mã độc tống tiền.
Các công cụ mã nguồn mở như PsExec được sử dụng để thực thi từ xa, trong khi masscan được dùng để quét mạng. Điều này cho thấy sự kết hợp giữa kỹ thuật APT và công cụ sẵn có.
Khung C2 ak47c2: Cốt lõi của Mối đe dọa Mạng
Điểm đặc trưng trong cách tiếp cận của Storm-2603 là việc sử dụng một công cụ tùy chỉnh lợi dụng kỹ thuật “Bring Your Own Vulnerable Driver” (BYOVD). Công cụ này được thiết kế để vô hiệu hóa các biện pháp bảo vệ điểm cuối. Thường xuyên, nó được kết hợp với nhiều họ mã độc ransomware được triển khai thông qua kỹ thuật DLL hijacking.
Khung ak47c2 của Storm-2603, với các đường dẫn PDB như C:\Users\Administrator\Desktop\work\tools\ak47c2, minh chứng cho việc hỗ trợ các backdoor tinh vi. Điều này cho thấy khả năng phát triển công cụ nội bộ của nhóm.
Biến thể Ak47dns
Theo báo cáo của CPR, biến thể ak47dns là một ứng dụng console 64-bit có tên dnsclient.exe. Khi khởi chạy, nó ẩn cửa sổ và xây dựng các truy vấn DNS để giao tiếp C2 thông qua miền update.updatemicfosoft[.]com. Kỹ thuật này giúp che giấu lưu lượng C2 trong các truy vấn DNS thông thường.
Để đảm bảo tính bí mật, ak47dns tạo một ID phiên gồm năm ký tự ngẫu nhiên. Sau đó, nó mã hóa payload bằng thuật toán XOR với khóa “VHBD@H”. Dữ liệu được hồi về sử dụng bản ghi DNS TXT hoặc MG, với các đầu ra lớn được phân mảnh thành các đoạn 63 byte.
Backdoor Ak47http
Tương tự, backdoor ak47http sử dụng các yêu cầu HTTP POST với payload JSON. Các payload này được mã hóa giống hệt như ak47dns. ak47http thực thi các lệnh thông qua cmd.exe và chuyển tiếp kết quả đến các miền như update.micfosoft[.]com. Điều này cho phép nhóm thực hiện các lệnh tùy ý trên hệ thống bị nhiễm.
Các Công cụ và Kỹ thuật Khai thác của Storm-2603
Các sự cố từ tháng 4 năm 2025, bao gồm các tệp lưu trữ RAR trên VirusTotal, đã tiết lộ việc triển khai các tiện ích mã nguồn mở. Các công cụ này bao gồm WinPcap để bắt gói tin, SharpHostInfo để thu thập thông tin tình báo, và nxc để khai thác lỗ hổng. Việc sử dụng kết hợp các công cụ này cho phép Storm-2603 thực hiện nhiều giai đoạn của cuộc tấn công.
Payload mã độc ransomware như LockBit Black và Warlock (sử dụng tiện ích mở rộng .x2anylock) được đóng gói. Chúng được kích hoạt thông qua các trình cài đặt MSI lạm dụng kỹ thuật DLL hijacking trong các tệp hợp pháp như 7z.exe hoặc MpCmdRun.exe.
Một công cụ tùy chỉnh có tên “Antivirus Terminator” đã hoạt động từ cuối năm 2024. Công cụ này tạo một dịch vụ tên ServiceMouse sử dụng trình điều khiển dễ bị tổn thương của Antiy Labs (ban đầu là AToolsKrnl64.sys). Nó gửi các mã IOCTL như 0x99000050 để chấm dứt tiến trình, hiệu quả là bỏ qua các biện pháp bảo vệ chống virus thông qua BYOVD.
# Ví dụ về việc vô hiệu hóa bảo vệ bằng BYOVD (concept)
sc create ServiceMouse binPath= "C:\Path\To\AToolsKrnl64.sys"
net start ServiceMouse
# Gửi IOCTL 0x99000050 để kết thúc tiến trình
Chiến lược Đa Ransomware và Liên kết Chiến dịch
Chiến lược đa mã độc ransomware này, với các ghi chú như “How to decrypt my data.txt” yêu cầu liên hệ qua Tox hoặc ProtonMail, phù hợp với các chiến thuật hiếm gặp được quan sát trong các báo cáo của Huntress và Microsoft. Các báo cáo này liên kết Storm-2603 với các chiến dịch trước đó kể từ tháng 3 năm 2025.
Indicators of Compromise (IOCs)
Các chỉ số xâm nhập liên quan đến hoạt động của Storm-2603 bao gồm:
- Miền C2:
update.updatemicfosoft[.]comupdate.micfosoft[.]com
- Đường dẫn PDB của ak47c2:
C:\Users\Administrator\Desktop\work\tools\ak47c2
- Phần mở rộng tệp mã độc tống tiền:
.x2anylock(liên quan đến Warlock ransomware)
- Trình điều khiển bị lợi dụng:
AToolsKrnl64.sys(từ Antiy Labs, được sử dụng trong Antivirus Terminator)
Tác động và Cơ sở hạ tầng của Storm-2603
Storm-2603 đại diện cho một tác nhân liên kết với mã độc ransomware đang phát triển. Nhóm này kết hợp các kỹ thuật APT phức tạp với các công cụ thương mại. Mục tiêu chính là khai thác các lỗ hổng SharePoint để truy cập ban đầu và sử dụng mã độc tùy chỉnh để duy trì sự hiện diện. Điều này cho thấy sự linh hoạt và khả năng thích ứng cao của nhóm.
Bằng cách tương quan các IOC từ các báo cáo của Microsoft, CPR đã truy vết được các điểm trùng lặp trong cơ sở hạ tầng của nhóm. Điều này làm nổi bật sự tập trung của Storm-2603 vào việc triển khai nhanh chóng nhiều payload. Mục tiêu cuối cùng là tối đa hóa sự gián đoạn và thiệt hại cho các mục tiêu.
Để biết thêm chi tiết về phân tích của Check Point Research, bạn có thể tham khảo báo cáo đầy đủ tại: Check Point Research – Before ToolShell: Exploring Storm-2603’s Previous Ransomware Operations.
Để hiểu rõ hơn về các lỗ hổng CVE được nhắc đến, có thể tham khảo cơ sở dữ liệu quốc gia về lỗ hổng bảo mật: NVD – CVE-2025-49704.
