Selon l’extrait d’actualité fourni, le rançongiciel Warlock est attribué à un acteur basé en Chine et présente des liens avec des activités malveillantes remontant à 2019.
Warlock est décrit comme une menace inhabituelle car, à la différence de nombreuses opérations de ransomware souvent associées à la CEI, il semble être utilisé par un groupe basé en Chine 🇨🇳. Bien que son nom soit nouveau (apparition en juin 2025), des connexions avec des activités antérieures et variées sont mentionnées.
Quelques semaines après sa découverte, des attaquants déployant Warlock ont été observés exploitant une vulnérabilité zero‑day dans Microsoft SharePoint liée à ToolShell : CVE-2025-53770, le 19 juillet 2025. 🔒🕳️
Faits clés:
- Apparition de Warlock: juin 2025
- Exploitation zero‑day: ToolShell sur Microsoft SharePoint (CVE-2025-53770)
- Date d’exploitation observée: 19 juillet 2025
- Attribution: utilisation par un acteur basé en Chine, avec des liens d’activité remontant à 2019
TTPs observés:
- Déploiement de rançongiciel
- Exploitation de zero‑day (CVE-2025-53770) ciblant Microsoft SharePoint via ToolShell
- Opération attribuée à un acteur Chine‑based
Cet extrait relève d’une analyse de menace visant à présenter l’émergence de Warlock, ses vecteurs d’attaque et son ancrage historique.
🧠 TTPs et IOCs détectés
TTPs
Déploiement de rançongiciel, Exploitation de zero-day (CVE-2025-53770) ciblant Microsoft SharePoint via ToolShell, Opération attribuée à un acteur basé en Chine
IOCs
Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.
🔗 Source originale : https://www.security.com/blog-post/warlock-ransomware-origins
🖴 Archive : https://web.archive.org/web/20251023071858/https://www.security.com/blog-post/warlock-ransomware-origins