Warlock

Analyse Threat Research publiée par la Sophos Counter Threat Unit (CTU) (“GOLD SALEM tradecraft for deploying Warlock ransomware”, 11 décembre 2025). Objectif : documenter l’évolution du mode opératoire d’un groupe cybercriminel (GOLD SALEM) sur 6 mois et 11 incidents, en reliant précurseurs, outillage, infrastructure et tentatives de déploiement de ransomware Warlock. Tactiques GOLD SALEM pour déployer Warlock (Warlock / LockBit / Babuk) 1) Constat & attribution Sophos CTU observe des intrusions (mars → septembre 2025) attribuées avec haute confiance à un acteur cherchant à déployer Warlock ransomware (groupe GOLD SALEM). Mise en contexte : en juillet 2025, Microsoft signale des déploiements Warlock via la chaîne d’exploit ToolShell sur SharePoint on-prem (Storm-2603 chez Microsoft, GOLD SALEM chez Sophos). Sur 11 incidents : certains vont jusqu’à une tentative ou déploiement de ransomware (Warlock le plus souvent), d’autres sont des précurseurs (pré-positionnement / staging / accès / outillage). 2) Chaîne d’attaque (vue “kill chain”) Accès initial Souvent indéterminé faute de preuves. Plusieurs cas via exploitation SharePoint, dont un cas via la chaîne ToolShell après disponibilité d’exploits publics. Exemple technique : processus SharePoint w3wp.exe qui lance msiexec.exe, menant au téléchargement/installation d’outils (ex. Velociraptor) depuis des sous-domaines Cloudflare Workers workers[.]dev. Persistance & création de comptes Création de comptes admin pour persistance : net user backupadmin abcd1234 admin_gpo abcd1234 net1 localgroup administrators lapsadmin1 /add Accès aux identifiants / credential dumping Repérage de lsass.exe : tasklist /v /fo csv | findstr /i "lsass.exe" Utilisation probable de MiniDump via comsvcs.dll pour extraire des hash/identifiants. Mention d’un Mimikatz packé (au moins un incident). Dans un incident : outil de dump mots de passe Veeam. Exécution / Post-exploitation Usage “LOTL” et outillage légitime : Velociraptor (outil DFIR) détourné : déploiement à partir de v2.msi / v3.msi VS Code en mode tunnel (code.exe ou vscode.exe) comme canal C2 / accès distant Cloudflared (tunnel Cloudflare) parfois déployé Autres outils vus en staging : OpenSSH, Radmin, MinIO client, SecurityCheck (inventaire logiciels sécurité) Évasion / neutralisation de la défense Outil “AV/EDR killer” : vmtools.exe (et variantes). BYOVD (Bring Your Own Vulnerable Driver) avec drivers : rsndispot.sys / rspot.sys (métadonnées liées à un éditeur chinois) kl.sys parfois ServiceMouse.sys Suspicion de DLL side-loading (Java via jli.dll) dans certains cas (non confirmé). Command & Control / infrastructure Forte utilisation de Cloudflare Workers (workers[.]dev) pour : staging d’outils, serveur C2 pour Velociraptor, et/ou relai pour tunnels (VS Code / Cloudflared). Rotation d’infrastructure après publication CTU : nouveau domaine qgtxtebl[.]workers[.]dev observé en septembre. 3) Impact observé (ransomware) Variants vus : Warlock, LockBit 3.0, Babuk (ESXi). Warlock semble dérivé du builder LockBit 3.0 leaké (hypothèse partagée par d’autres rapports selon l’article). Extensions de chiffrement associées à Warlock : .x2anylock (principalement), parfois .xlockxlock. Notes de rançon : variations (qTox ID multiples), parfois mention explicite “Warlock Group”. Publication des victimes sur un site de fuite Tor (tiles + compte à rebours → fuite/vente des données si rançon non payée). 4) Victimologie & discussion Certains secteurs “intéressants” (télécom, nucléaire, R&D avancée…) pourraient évoquer une motivation opportuniste ou plus stratégique, mais Sophos conclut : groupe financièrement motivé, pas de preuve d’espionnage ni de direction étatique. Indices “faible confiance” d’une composante chinoise : TTPs/infrastructure, drivers d’éditeurs chinois, ciblage Russie/Taïwan, recoupements SharePoint. 🧠 TTPs (MITRE ATT&CK — synthèse) Initial Access : exploitation appli web (SharePoint / ToolShell) Execution : msiexec.exe, PowerShell encodé ; exécution via Velociraptor Persistence : création de comptes admin (net user, localgroup administrators) Credential Access : dump LSASS (comsvcs.dll / MiniDump), Mimikatz (packé), dump Veeam Defense Evasion : kill AV/EDR (vmtools), BYOVD (drivers rsndispot.sys, kl.sys, ServiceMouse.sys), possible DLL side-loading (jli.dll) Command and Control : tunnels via VS Code tunnel, Cloudflared, infra Cloudflare Workers Collection/Discovery : inventaire outils sécurité via SecurityCheck, exploration via “Everything” (un incident) Impact : chiffrement (Warlock/LockBit/Babuk), note de rançon, leak site 🔎 IoCs / Indicateurs (extraits de l’article Sophos) Domaines / URL files[.]qaubctgg[.]workers[.]dev (staging) velo[.]qaubctgg[.]workers[.]dev (C2 Velociraptor, août 2025) royal-boat-bf05[.]qgtxtebl[.]workers[.]dev (C2 Velociraptor, sept. 2025) hxxps://stoaccinfoniqaveeambkp[.]blob[.]core[.]windows[.]net/veeam/ (Azure blob : stockage outil) Fichiers / noms caractéristiques Notes de rançon : How to decrypt my data.log, How to decrypt my data.txt Installers/outils (staging observé) : v2.msi, v3.msi, cf.msi, ssh.msi, site.msi, code.exe, code.txt, sc.msi, radmin-en.msi, radmin.reg, mc, mc.exe, DEP.7z Hashes (sélection) vmtools.exe (AV/EDR killer) ...

SecurityAffairs rapporte que Colt Technology Services a confirmé une cyberattaque avec vol de données, alors que l’opérateur télécom s’emploie à rétablir des systèmes affectés depuis le 12 août 2025. L’attaque est « rapportée » comme liée au ransomware WarLock et a entraîné des pannes pluri-journalières sur les services hosting, porting, Colt Online et Voice API. Les assaillants ont mis des données volées en vente sur le forum Ramp. Colt a d’abord parlé d’un « problème technique » avant de confirmer l’incident cyber et d’indiquer que le cœur de son réseau n’était pas impacté. La société a notifié les autorités et n’a pas communiqué de calendrier de rétablissement. ⚠️ ...