Selon le Counter Threat Unit (CTU), le groupe se présentant comme Warlock Group (suivi comme GOLD SALEM) mène depuis mars 2025 des intrusions suivies du déploiement du ransomware Warlock. Microsoft le piste sous l’appellation Storm-2603 et évoque avec « confiance modérée » une origine en Chine, une attribution que le CTU ne corrobore pas faute d’éléments suffisants.

🚨 Activité et victimologie. Le DLS (site de fuite sur Tor) de GOLD SALEM liste 60 victimes à la mi-septembre 2025, de petites entités jusqu’à de grands groupes, en Amérique du Nord, Europe et Amérique du Sud. Le groupe publie des données pour 19 victimes (32%) et affirme en avoir vendu pour 27 (45%), trois entrées ayant été retirées. Il a surtout évité Chine et Russie, mais a listé le 8 septembre une entreprise russe du secteur de l’ingénierie pour la production électrique, ce qui suggère une activité hors de cette juridiction. Le DLS est alimenté par vagues avec une date « countdown » à J+12/14, et inclut parfois des victimes déjà exposées par d’autres opérations ransomware, illustrant des accès revendus ou des compromissions répétées.

🧩 Intrusions observées. En juillet, GOLD SALEM a obtenu l’accès initial via la chaîne d’exploits « ToolShell » contre SharePoint (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771), déposant une web shell ASPX qui exécute des commandes via w3wp.exe. Un binaire Go agissant comme serveur WebSockets a été récupéré depuis filebin pour un accès persistant. Le groupe a contourné les EDR par BYOVD en chargeant un pilote Baidu Antivirus vulnérable (renommé googleApiUtil64.sys; CVE-2024-51324) pour tuer les agents. Microsoft a aussi observé Mimikatz ciblant la mémoire LSASS pour extraire des identifiants en clair, l’utilisation de PsExec/Impacket pour les mouvements latéraux et de GPO pour déployer la charge Warlock. En août, le CTU a vu l’abus de l’outil DFIR open source Velociraptor pour établir un tunnel réseau Visual Studio Code, certaines intrusions se concluant par un chiffrement.

🔍 Détections et mitigations (rapportées). Le CTU recommande une surveillance régulière de la surface d’attaque et un patching agressif des services exposés ; la détection/atténuation des zero-days requiert une supervision proactive des endpoints et une réponse rapide. Des protections Sophos détectent des éléments liés (Troj/WebShel-F, Troj/Warlock-B).

TTPs clés

  • Accès initial : exploitation SharePoint via chaîne d’exploits multi-CVE (ToolShell)
  • Persistance/Command & Control : web shell ASPX, serveur WebSockets téléchargé, tunnel VS Code via Velociraptor
  • Élévation/Évasion : BYOVD avec pilote vulnérable (CVE-2024-51324) pour tuer l’EDR
  • Accès aux identifiants : Mimikatz ciblant LSASS
  • Mouvement latéral : PsExec, Impacket
  • Déploiement : GPO pour pousser le payload ransomware
  • Extorsion/Impact : ransomware Warlock, DLS Tor avec publication/vente de données et échéances à 12–14 jours

IOCs (extraits du rapport)

  • URL de téléchargement observée : hxxps://filebin[.]net/j7jqfnh8tn4alzsr/wsocks.exe.txt
  • Pilote vulnérable utilisé (BYOVD) : googleApiUtil64.sys — CVE-2024-51324
  • Web shell ASPX (post-exploitation SharePoint)
    • MD5: bfbeac96a385b1e5643ec0752b132506
    • SHA1: de25be0afd53a1d274eec02e5303622fc8e7dbd5
    • SHA256: 996c7bcec3c12c3462220fc2c19d61ccc039005ef5e7c8fabc0b34631a31abb1
  • Outil d’accès WebSockets (wsocks.exe.txt)
    • MD5: b3a099ecca79503a0e4a154bd85d3e6b
    • SHA1: 6d0cc6349a951f0b52394ad3436d1656ec5fba6a
    • SHA256: a204a48496b54bcb7ae171ad435997b92eb746b5718f166b3515736ee34a65b4

Conclusion. Cette publication est une analyse de menace documentant l’opération Warlock/GOLD SALEM, sa victimologie, ses TTPs et les IOCs associés, avec un aperçu des capacités de détection.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation SharePoint via chaîne d’exploits multi-CVE (ToolShell)’, ‘Web shell ASPX pour persistance/command & control’, ‘Serveur WebSockets téléchargé pour persistance/command & control’, ‘Tunnel VS Code via Velociraptor pour persistance/command & control’, ‘BYOVD avec pilote vulnérable (CVE-2024-51324) pour élévation/évasion’, ‘Mimikatz ciblant LSASS pour accès aux identifiants’, ‘PsExec et Impacket pour mouvement latéral’, ‘GPO pour déployer le payload ransomware’, ‘Ransomware Warlock pour extorsion/impact’, ‘DLS Tor pour publication/vente de données avec échéances à 12–14 jours’]

IOC

{‘url’: ‘hxxps://filebin[.]net/j7jqfnh8tn4alzsr/wsocks.exe.txt’, ‘hashes’: {‘web_shell_aspx’: {‘md5’: ‘bfbeac96a385b1e5643ec0752b132506’, ‘sha1’: ‘de25be0afd53a1d274eec02e5303622fc8e7dbd5’, ‘sha256’: ‘996c7bcec3c12c3462220fc2c19d61ccc039005ef5e7c8fabc0b34631a31abb1’}, ‘wsocks_exe_txt’: {‘md5’: ‘b3a099ecca79503a0e4a154bd85d3e6b’, ‘sha1’: ‘6d0cc6349a951f0b52394ad3436d1656ec5fba6a’, ‘sha256’: ‘a204a48496b54bcb7ae171ad435997b92eb746b5718f166b3515736ee34a65b4’}}, ‘vulnerable_driver’: ‘googleApiUtil64.sys — CVE-2024-51324’}

🔗 Source originale : https://news.sophos.com/en-us/2025/09/17/gold-salems-warlock-operation-joins-busy-ransomware-landscape/