Pojawiająca się odmiana oprogramowania ransomware znana jako Warlock – powiązana z wieloma atakami zorganizowanymi przy użyciu luk w zabezpieczeniach lokalnych instancji programu Microsoft SharePoint Server latem 2025 r – został z dużym stopniem pewności powiązany z chińskimi podmiotami stwarzającymi zagrożenie dla państw narodowych przez badaczy z Centrum badawczego Ransomware firmy Halcyon.
Ataki na SharePoint wynikały z łańcucha luk o nazwie ToolShell i szybko zostały powiązane z dwiema znanymi chińskimi grupami zaawansowanych trwałych zagrożeń (APT) – Lniany Tajfun i Fioletowy Tajfun – przez Microsoft.
W tym samym czasie Microsoft zaobserwował niesklasyfikowanego ugrupowania zagrażającego znanego jako Storm-2603 wykorzystującego luki w zabezpieczeniach ToolShell, i szybko nawiązał połączenie z Czarnoksiężnikiem. Pod koniec sierpnia operatorzy Czarnoksiężnika pochłonęli wiele ofiar, w tym firmy telekomunikacyjne Colt i Orange.
Dwa miesiące później zespół Halcyona twierdzi, że Warlock prawdopodobnie ma powiązania z chińskimi atakami APT nazwanymi przez Microsoft, co opiera się na wcześniejszej ocenie gangu na podstawie wczesnego dostępu gangu do ToolShell oraz nowych próbek złośliwego oprogramowania i analizy technicznej, które jego zdaniem podkreślają rozwój na poziomie profesjonalnym, bardziej spójny z dobrze finansowanymi grupami państwowymi niż przestępcami.
“Nasza nowa analiza techniczna wykazała, że Warlock od początku planował wdrożenie wielu rodzin oprogramowania ransomware, aby zmylić przypisanie, uniknąć wykrycia i przyspieszyć wpływ. W oparciu o pokrywanie się kwestii technicznych Halcyon śledzi Warlocka jako tę samą grupę, co Storm-2603 – Microsoft – i Cl-CRI-1040 – Palo Alto Unit 42” – stwierdził zespół.
Zespół Halcyon potwierdził również wcześniej sugerowane linki do LockBit, stwierdzając, że Warlock cieszył się „wyróżnieniem” bycia ostatnim partnerem LockBit zarejestrowane przed wyciekiem danych w maju 2025 r i wykorzystał LockBit 3.0 jako narzędzie operacyjne i podstawę programistyczną dla własnej skrytki ransomware.
Cynthia Kaiser, starsza wiceprezes Centrum badawczego Ransomware firmy Halcyon, stwierdziła, że przypisanie tego zagrożenia nie wzięło się znikąd, biorąc pod uwagę głośny i szeroko zgłaszany charakter naruszenia SharePoint.
„To powiedziawszy, ustalenia te są szczególnie istotne, ponieważ budzą obawy dotyczące większej liczby ataków oprogramowania ransomware wynikających z postępującej działalności państw narodowych” – Kaiser powiedział Computer Weekly. „Historycznie rzecz biorąc, ataki oprogramowania ransomware i ataki na państwa narodowe [or] szpiegostwo miało odrębne motywacje i taktyki, aby osiągnąć swoje cele – świadomość, że oprogramowanie ransomware może być skutkiem działalności państwa narodowego, powoduje większe obciążenie dla obrońców sieci, którzy mogą nie być przygotowani”.
Kasier powiedział, że w tym przypadku trudno było określić dokładny charakter rzekomych relacji – operatorzy Warlocka mogą wykorzystywać osobiste powiązania, współpracując w przeszłości z chińskimi państwowymi agentami cybernetycznymi, lub współpraca może mieć raczej bardziej bezpośredni charakter oficjalny, być może nawet bezpośrednio zakontraktowany. „Spodziewalibyśmy się, że większość tych działań będzie miała milczącą, ale niekoniecznie wyraźną zgodę Pekinu” – dodała.
Nowa granica
Niekoniecznie jest to pierwszy przypadek, gdy chińscy cyberprzestępcy motywowani finansowo mogą działać bez konsekwencji ze strony rządu. Kaiser przytoczył Hafn atakuje na serwerze Microsoft Exchange w 2021 rco również wykazało pewien stopień pokrywania się.
Niemniej jednak Kaiser stwierdziła, że spodziewa się nasilenia tej tendencji, a rosnąca ekspansja chińskiego cyberszpiegostwa na sąsiednie obszary stanowi nową i niebezpieczną granicę dla obrońców.
“Ważne jest, aby obrońcy sieci byli świadomi możliwości przekształcenia kampanii szpiegowskich w ataki oprogramowania ransomware. Obrońcy sieci mogą w naturalny sposób nie myśleć o oprogramowaniu ransomware, gdy mają do czynienia z atakiem na państwo narodowe” – powiedział Kaiser. “To, co kiedyś było binarnym skupieniem się na oprogramowaniu ransomware i atakach na państwa narodowe, należy teraz rozpatrywać łącznie. To nie jest tylko problem Chin. Musimy być przygotowani na to, że jego występowanie stanie się coraz bardziej powszechne we wszystkich przypadkach – nie jest to jednorazowy przypadek.”