Storm-2603: Neue Bedrohung durch SharePoint-Schwachstellen

LONDON (IT BOLTWISE) – Eine neue Bedrohung durch die Ausnutzung von Sicherheitslücken in Microsoft SharePoint Server sorgt für Aufsehen in der IT-Sicherheitsbranche. Der mutmaßlich aus China stammende Bedrohungsakteur Storm-2603 nutzt eine maßgeschneiderte Command-and-Control-Infrastruktur, um Ransomware über eine DNS-gesteuerte Hintertür zu verbreiten.

Die jüngsten Sicherheitslücken in Microsoft SharePoint Server, bekannt als CVE-2025-49706 und CVE-2025-49704, haben eine neue Bedrohung in Form von Storm-2603 hervorgebracht. Dieser Bedrohungsakteur nutzt eine eigens entwickelte Command-and-Control (C2) Infrastruktur namens AK47 C2, um Ransomware zu verbreiten. Diese Infrastruktur umfasst sowohl HTTP- als auch DNS-basierte Clients, die von Sicherheitsforschern als AK47HTTP und AK47DNS bezeichnet werden.

Storm-2603, ein mutmaßlich aus China stammender Akteur, hat die genannten Schwachstellen genutzt, um die Ransomware Warlock, auch bekannt als X2anylock, zu verbreiten. Diese Vorgehensweise ist besonders bemerkenswert, da sie die Verbreitung von Ransomware über DNS-gesteuerte Hintertüren ermöglicht, was eine neue Dimension in der Cyberkriminalität darstellt.

Die Aktivitäten von Storm-2603 wurden erstmals im März 2025 beobachtet, wie Analysen von VirusTotal-Artefakten zeigen. Der Akteur hat in dieser Zeit sowohl LockBit Black als auch Warlock Ransomware eingesetzt, was in der e-Crime-Szene eher unüblich ist. Laut Berichten von Check Point Research hat Storm-2603 Organisationen in Lateinamerika und im asiatisch-pazifischen Raum ins Visier genommen.

Zu den von Storm-2603 verwendeten Angriffswerkzeugen gehören legitime Open-Source- und Windows-Dienstprogramme wie masscan, WinPcap, SharpHostInfo, nxc und PsExec. Besonders hervorzuheben ist ein maßgeschneiderter Backdoor-Client namens dnsclient.exe, der DNS für die Command-and-Control-Kommunikation nutzt und mit der Domain update.updatemicfosoft[.]com verbunden ist.

Diese Hintertür ist Teil des AK47 C2-Frameworks, das neben AK47HTTP eingesetzt wird, um Hostinformationen zu sammeln und DNS- oder HTTP-Antworten vom Server zu parsen und auf dem infizierten Rechner auszuführen. Die genaue Methode, wie der initiale Zugriff auf die Systeme erfolgt, ist derzeit noch unbekannt.

Microsoft hat die Infrastruktur von Storm-2603 ebenfalls als C2-Server identifiziert, der zur Kommunikation mit der Web-Shell spinstall0.aspx genutzt wird. Neben den Open-Source-Tools hat Storm-2603 auch drei zusätzliche Payloads verteilt, darunter die legitime 7-Zip-Binärdatei 7z.exe und 7z.dll, die verwendet wird, um eine bösartige DLL zu laden, die Warlock bereitstellt.

Ein weiteres bemerkenswertes Artefakt ist bbb.msi, ein Installer, der clink_x86.exe verwendet, um clink_dll_x86.dll zu laden, was zur Bereitstellung von LockBit Black führt. Check Point entdeckte zudem ein weiteres MSI-Artefakt, das im April 2025 auf VirusTotal hochgeladen wurde und zur Ausführung von Warlock und LockBit Ransomware sowie zur Verteilung eines benutzerdefinierten Antivirus-Killer-Programms namens VMToolsEng.exe dient.

Die genauen Motive von Storm-2603 sind derzeit unklar, was es schwierig macht, festzustellen, ob es sich um einen auf Spionage oder Profit ausgerichteten Akteur handelt. Es gibt jedoch Hinweise darauf, dass staatliche Akteure aus China, Iran und Nordkorea gelegentlich Ransomware einsetzen. Storm-2603 nutzt die BYOVD-Technik, um Endpunktschutzmaßnahmen zu deaktivieren, und DLL-Hijacking, um mehrere Ransomware-Familien zu verbreiten, was die Grenzen zwischen APT- und kriminellen Ransomware-Operationen verwischt.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!