# Warlock (Storm-2603) > [!warning] Resumo > Ator de ransomware vinculado à China com confiança moderada, que explora zero-days em Microsoft SharePoint e SmarterMail para implantar ransomware via cadeia ToolShell. Crescimento rápido desde março de 2025 com 22+ vítimas em meses. ## Visão Geral O **Warlock** (rastreado como **Storm-2603** pela Microsoft e **GOLD SALEM** pela Sophos/CTU) é um ator financeiramente motivado observado pela primeira vez em **março de 2025**, com atribuição de **confiança moderada à China**. O grupo mescla TTPs de espionagem estatal com operações de cibercrime, operando um modelo RaaS com recrutamento de afiliados. O Warlock ganhou notoriedade pela exploração de **zero-days em Microsoft SharePoint** (cadeia ToolShell) e posteriormente em **SmarterMail**, demonstrando capacidade técnica avançada para desenvolvimento ou aquisição de exploits inéditos. O grupo opera um site de vazamento (anteriormente "Data Leak 101") para dupla extorsão. A relação com a China é controversa - Microsoft e ReliaQuest atribuem com confiança moderada, enquanto Sophos CTU considera as evidências insuficientes para atribuição completa. ## Attack Flow - Cadeia de Ataque Warlock ```mermaid graph TB A["🎯 Exploração Pública<br/>T1190 - SharePoint/SmarterMail<br/>CVE-2025-49704, CVE-2026-23760"] --> B["🔗 Web Shell ASPX<br/>T1505 - Persistência<br/>spinstall0.aspx em servers"] B --> C["⚙️ Escalação de Privilégios<br/>T1574 BYOVD - AToolsKrnl64.sys<br/>DLL Hijacking"] C --> D["🔑 Dumping de Credenciais<br/>T1003 - Mimikatz LSASS<br/>Credenciais SMB/Admin"] D --> E["↔️ Movimento Lateral<br/>T1021 - PsExec, Impacket, WMI<br/>Propagação via GPO"] E --> F["🔒 Impacto Ransomware<br/>T1486 - LockBit Black<br/>T1490 - Shadow Copy Deletion"] classDef exploit fill:#c0392b,color:#fff,stroke:#922b21 classDef persist fill:#e67e22,color:#fff,stroke:#d35400 classDef escalaté fill:#8e44ad,color:#fff,stroke:#6c3483 classDef cred fill:#1a5276,color:#fff,stroke:#154360 classDef lateral fill:#2471a3,color:#fff,stroke:#1a5276 classDef impact fill:#7b241c,color:#fff,stroke:#641e16 class A exploit class B persist class C escalaté class D cred class E lateral class F impact ``` ## Táticas, Técnicas e Procedimentos (TTPs) O Storm-2603 mapeia técnicas ao longo de toda a cadeia de ataque: - **Acesso Inicial**: Exploração de aplicações públicas ([[t1190-exploit-public-facing-application|T1190]]) - SharePoint ToolShell chain, SmarterMail - **Persistência**: Web shells ASPX em SharePoint ([[t1505-server-software-component|T1505]]), criação de contas - **Escalação de Privilégios**: BYOVD (AToolsKrnl64.sys renomeado como ServiceMouse.sys), DLL Hijacking ([[t1574-hijack-execution-flow|T1574]]) - **Evasão**: Masquerading ([[t1036-masquerading|T1036]]) - spinstall0.aspx, debug_dev.js; "Antivirus Terminator" - **Acesso a Credenciais**: [[mimikatz]] em LSASS ([[t1003-os-credential-dumping|T1003]]) - **Movimentação Lateral**: SMB/PsExec/Impacket/WMI ([[t1021-remote-services|T1021]]), GPO para deploy de payload - **Impacto**: Ransomware via GPO ([[t1486-data-encrypted-for-impact|T1486]]), deleção de shadow copies ([[t1490-inhibit-system-recovery|T1490]]) ## Campanhas Notáveis | Data | Campanha | Detalhes | |------|---------|----------| | Mar 2025 | Emergência | Primeiras operações de ransomware | | Jul 2025 | SharePoint ToolShell | Exploração de zero-days CVE-2025-49704, CVE-2025-53770 | | Jul-Ago 2025 | Orange Belgium | ~850K registros de clientes (nomes, telefones, SIM/PUK) | | Ago 2025 | Colt Technology Services | ~1M documentos (financeiros, contratos, configs de rede), sistemas offline | | Ján 2026 | [[warlock-smartertools-2026\|SmarterTools breach]] | Via zero-days SmarterMail [[cve-2026-23760\|CVE-2026-23760]] e [[cve-2026-24423\|CVE-2026-24423]] | ## Infraestrutura e Ferramentas | Ferramenta | Uso | |-----------|-----| | [[mimikatz]] | Dump de credenciais LSASS | | PsExec/Impacket | Execução remota e movimentação lateral | | BYOVD (AToolsKrnl64.sys) | Desabilitação de segurança | | [[velociraptor-tool]] | Ferramenta forense legítima abusada para persistência | | [[lockbit-black]] (LockBit 3.0) | Variante de ransomware utilizada | | AK47 Framework | Framework C2 customizado | | Web shells ASPX | Persistência em SharePoint | ## Alvos e Setores O Warlock foca em **vendors de software empresarial**, provedores de hosting, [[telecommunications|telecomúnicações]] (Orange Belgium, Colt Technology) e [[technology]]. A operação se estende globalmente via modelo de afiliados, com atividade notável na APAC, América Latina e Europa. ## Indicadores de Comprometimento (IoCs) - Web shells ASPX (spinstall0.aspx) em servidores SharePoint - Driver AToolsKrnl64.sys renomeado como ServiceMouse.sys - Executável "Antivirus Terminator" - Notas de resgaté: "How to decrypt my data.log" ou "<ID>.README.txt" - Comúnicações via framework AK47 ## Relevância para o Brasil e LATAM > [!warning] Operações Fora de Foco Primário > Até o momento, não há evidência pública de Warlock dirigindo ataques contra alvos brasileiros ou latino-americanos. O grupo concentra operações em provedores europeus de software e telecomúnicações. Porém, o modelo RaaS com afiliados globais e a capacidade de exploração de zero-days criam risco potencial para qualquer organização que execute SharePoint ou SmarterMail on-premises na região. O Warlock opera principalmente contra alvos europeus, mas a natureza do seu modelo de negócios (RaaS com afiliados em múltiplas regiões) e a exploração de aplicações amplamente usadas em LATAM (Microsoft SharePoint, SmarterMail) sugerem risco iminente. Organizações financeiras, de telecomúnicações e provedores de infraestrutura na região devem monitorar campanhas e aplicar patches de urgência para as CVEs exploradas pelo grupo. ## Referências - [Sophos - GOLD SALEM's Warlock Operation](https://www.sophos.com/en-us/blog/gold-salems-warlock-operation-joins-busy-ransomware-landscape) - [Microsoft - Disrupting Active Exploitation of SharePoint Vulnerabilities](https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/) - [ReliaQuest - Storm-2603 Exploits CVE-2026-23760](https://reliaquest.com/blog/threat-spotlight-storm-2603-exploits-CVE-2026-23760-to-stage-warlock-ransomware/) - [Daily Security Review - Warlock Group Profile](https://dailysecurityreview.com/resources/threat-actors-resources/warlock-group-gold-salem-aka-storm-2603-threat-profile/)