Analyse Threat Research publiée par la Sophos Counter Threat Unit (CTU) (“GOLD SALEM tradecraft for deploying Warlock ransomware”, 11 décembre 2025).
Objectif : documenter l’évolution du mode opératoire d’un groupe cybercriminel (GOLD SALEM) sur 6 mois et 11 incidents, en reliant précurseurs, outillage, infrastructure et tentatives de déploiement de ransomware Warlock.

Tactiques GOLD SALEM pour déployer Warlock (Warlock / LockBit / Babuk)

1) Constat & attribution

  • Sophos CTU observe des intrusions (mars → septembre 2025) attribuées avec haute confiance à un acteur cherchant à déployer Warlock ransomware (groupe GOLD SALEM).
  • Mise en contexte : en juillet 2025, Microsoft signale des déploiements Warlock via la chaîne d’exploit ToolShell sur SharePoint on-prem (Storm-2603 chez Microsoft, GOLD SALEM chez Sophos).
  • Sur 11 incidents : certains vont jusqu’à une tentative ou déploiement de ransomware (Warlock le plus souvent), d’autres sont des précurseurs (pré-positionnement / staging / accès / outillage).

2) Chaîne d’attaque (vue “kill chain”)

Accès initial

  • Souvent indéterminé faute de preuves.
  • Plusieurs cas via exploitation SharePoint, dont un cas via la chaîne ToolShell après disponibilité d’exploits publics.
  • Exemple technique : processus SharePoint w3wp.exe qui lance msiexec.exe, menant au téléchargement/installation d’outils (ex. Velociraptor) depuis des sous-domaines Cloudflare Workers workers[.]dev.

Persistance & création de comptes

  • Création de comptes admin pour persistance :
    • net user backupadmin abcd1234
    • admin_gpo abcd1234
    • net1 localgroup administrators lapsadmin1 /add

Accès aux identifiants / credential dumping

  • Repérage de lsass.exe :
    • tasklist /v /fo csv | findstr /i "lsass.exe"
  • Utilisation probable de MiniDump via comsvcs.dll pour extraire des hash/identifiants.
  • Mention d’un Mimikatz packé (au moins un incident).
  • Dans un incident : outil de dump mots de passe Veeam.

Exécution / Post-exploitation

  • Usage “LOTL” et outillage légitime :
    • Velociraptor (outil DFIR) détourné : déploiement à partir de v2.msi / v3.msi
    • VS Code en mode tunnel (code.exe ou vscode.exe) comme canal C2 / accès distant
    • Cloudflared (tunnel Cloudflare) parfois déployé
    • Autres outils vus en staging : OpenSSH, Radmin, MinIO client, SecurityCheck (inventaire logiciels sécurité)

Évasion / neutralisation de la défense

  • Outil “AV/EDR killer” : vmtools.exe (et variantes).
  • BYOVD (Bring Your Own Vulnerable Driver) avec drivers :
    • rsndispot.sys / rspot.sys (métadonnées liées à un éditeur chinois)
    • kl.sys
    • parfois ServiceMouse.sys
  • Suspicion de DLL side-loading (Java via jli.dll) dans certains cas (non confirmé).

Command & Control / infrastructure

  • Forte utilisation de Cloudflare Workers (workers[.]dev) pour :
    • staging d’outils,
    • serveur C2 pour Velociraptor,
    • et/ou relai pour tunnels (VS Code / Cloudflared).
  • Rotation d’infrastructure après publication CTU : nouveau domaine qgtxtebl[.]workers[.]dev observé en septembre.

3) Impact observé (ransomware)

  • Variants vus : Warlock, LockBit 3.0, Babuk (ESXi).
  • Warlock semble dérivé du builder LockBit 3.0 leaké (hypothèse partagée par d’autres rapports selon l’article).
  • Extensions de chiffrement associées à Warlock : .x2anylock (principalement), parfois .xlockxlock.
  • Notes de rançon : variations (qTox ID multiples), parfois mention explicite “Warlock Group”.
  • Publication des victimes sur un site de fuite Tor (tiles + compte à rebours → fuite/vente des données si rançon non payée).

4) Victimologie & discussion

  • Certains secteurs “intéressants” (télécom, nucléaire, R&D avancée…) pourraient évoquer une motivation opportuniste ou plus stratégique, mais Sophos conclut :
    • groupe financièrement motivé,
    • pas de preuve d’espionnage ni de direction étatique.
  • Indices “faible confiance” d’une composante chinoise : TTPs/infrastructure, drivers d’éditeurs chinois, ciblage Russie/Taïwan, recoupements SharePoint.

🧠 TTPs (MITRE ATT&CK — synthèse)

  • Initial Access : exploitation appli web (SharePoint / ToolShell)
  • Execution : msiexec.exe, PowerShell encodé ; exécution via Velociraptor
  • Persistence : création de comptes admin (net user, localgroup administrators)
  • Credential Access : dump LSASS (comsvcs.dll / MiniDump), Mimikatz (packé), dump Veeam
  • Defense Evasion : kill AV/EDR (vmtools), BYOVD (drivers rsndispot.sys, kl.sys, ServiceMouse.sys), possible DLL side-loading (jli.dll)
  • Command and Control : tunnels via VS Code tunnel, Cloudflared, infra Cloudflare Workers
  • Collection/Discovery : inventaire outils sécurité via SecurityCheck, exploration via “Everything” (un incident)
  • Impact : chiffrement (Warlock/LockBit/Babuk), note de rançon, leak site

🔎 IoCs / Indicateurs (extraits de l’article Sophos)

Domaines / URL

  • files[.]qaubctgg[.]workers[.]dev (staging)
  • velo[.]qaubctgg[.]workers[.]dev (C2 Velociraptor, août 2025)
  • royal-boat-bf05[.]qgtxtebl[.]workers[.]dev (C2 Velociraptor, sept. 2025)
  • hxxps://stoaccinfoniqaveeambkp[.]blob[.]core[.]windows[.]net/veeam/ (Azure blob : stockage outil)

Fichiers / noms caractéristiques

  • Notes de rançon : How to decrypt my data.log, How to decrypt my data.txt
  • Installers/outils (staging observé) : v2.msi, v3.msi, cf.msi, ssh.msi, site.msi, code.exe, code.txt, sc.msi, radmin-en.msi, radmin.reg, mc, mc.exe, DEP.7z

Hashes (sélection)

  • vmtools.exe (AV/EDR killer)

    • MD5 : 6147d367ae66158ec3ef5b251c2995c4
    • SHA1 : 0c319f0783d7e858af555c22ed00b0bd41867365
    • SHA256 : 00714292822d568018bb92270daecdf243a2ca232189677d27e38d632bfd68be

  • Drivers BYOVD (rsndispot.sys / kl.sys / rspot.sys)

    • MD5 : 054a32d6033b1744dca7f49b2e466ea2
    • SHA1 : c85c9a09cd1cb1691da0d96772391be6ddba3555
    • SHA256 : ea8c8f834523886b07d87e85e24f124391d69a738814a0f7c31132b6b712ed65

(Le tableau 4 de l’article contient aussi les hashes pour Cloudflared, MinIO, OpenSSH, Radmin, SecurityCheck, Velociraptor, VS Code, DEP.7z, etc.)

✅ Points action “défense” (ce que l’article recommande implicitement)

  • Réévaluer l’exposition d’un SharePoint internet-facing et patcher rapidement.
  • Surveiller :
    • créations de comptes admin (net user, localgroup administrators)
    • w3wp.exe → msiexec.exe
    • téléchargements depuis workers[.]dev et usage de VS Code tunnel
    • exécution/chargement de drivers suspects (BYOVD)
  • Vérifier les contrôles EDR/AV contre outils “killer” et durcir la protection kernel/drivers.

Type d’article et objectif: Analyse de menace visant à documenter l’activité de GOLD SALEM/Warlock et les vecteurs techniques observés.

🔗 Source originale : https://news.sophos.com/en-us/2025/12/11/gold-salem-tradecraft-for-deploying-warlock-ransomware/

🖴 Archive : https://web.archive.org/web/20251213152244/https://news.sophos.com/en-us/2025/12/11/gold-salem-tradecraft-for-deploying-warlock-ransomware/