Les auteurs de menaces ont commencé à utiliser l’outil Velociraptor digital forensics and incident response (DFIR) dans les attaques qui déploient les ransomwares LockBit et Babuk.
Les chercheurs de Cisco Talos évaluent avec une confiance moyenne que l’attaquant derrière les campagnes est un adversaire basé en Chine suivi sous le nom de Storm-2603.
Velociraptor est un outil DFIR open source créé par Mike Cohen. Le projet a été racheté par Rapid7, qui fournit une version améliorée à ses clients.
La société de cybersécurité Sophos a rapporté le 26 août que des pirates informatiques abusaient de Velociraptor pour un accès à distance. Plus précisément, les auteurs de la menace l’ont exploité pour télécharger et exécuter du code Visual Studio sur des hôtes compromis, établissant un tunnel de communication sécurisé avec l’infrastructure de commande et de contrôle (C2).
Dans un rapport publié plus tôt dans la journée, la société de protection contre les ransomwares Halcyon évalue que Storm-2603 est connecté à des acteurs de l’État-nation chinois, est le même groupe que Warlock ransomware et CL-CRI-1040, et a agi en tant qu’affilié de LockBit.
Accès persistant furtif
Cisco Talos indique que l’adversaire a utilisé une version obsolète de Velociraptor vulnérable à un problème de sécurité d’élévation de privilèges identifié comme CVE-2025-6264, qui pourrait permettre l’exécution de commandes arbitraires et prendre le contrôle de l’hôte.
Lors de la première étape de l’attaque, l’auteur de la menace a créé des comptes d’administrateur locaux synchronisés avec Entra ID et les a utilisés pour accéder à la console VMware vSphere, leur donnant un contrôle permanent sur les machines virtuelles (VM).
“Après avoir obtenu un accès initial, les acteurs ont installé une version obsolète de Velociraptor (version 0.73.4.0) qui a été exposée à une vulnérabilité d’escalade de privilèges (CVE-2025-6264) qui pourrait conduire à une exécution arbitraire de commandes et à une prise de contrôle des terminaux”, explique Cisco Talos.
Les chercheurs ont noté que Velociraptor aidait les attaquants à maintenir la persistance, le lançant plusieurs fois, même après l’isolement de l’hôte.
Ils ont également observé l’exécution de commandes de type Impacket smbexec pour exécuter des programmes à distance et la création de tâches planifiées pour les scripts batch.
Les attaquants ont désactivé la protection en temps réel de Defender en modifiant les objets de stratégie de groupe Active Directory et désactivé la surveillance du comportement et de l’activité des fichiers/programmes.
Les solutions EDR (Endpoint detection and response) ont identifié le ransomware déployé sur les systèmes cibles Windows comme LockBit, mais l’extension des fichiers cryptés était “.xlockxlock, » vu dans les attaques de ransomware Warlock.
Sur les systèmes VMware ESXi, les chercheurs ont trouvé un binaire Linux détecté comme étant le ransomware Babuk.
Les chercheurs de Cisco Talos ont également observé l’utilisation d’un chiffreur PowerShell sans fichier qui générait des clés AES aléatoires par exécution, ce qui est considéré comme le principal outil de « chiffrement de masse sur les machines Windows. »
Avant de chiffrer les données, l’attaquant a utilisé un autre script PowerShell pour exfiltrer des fichiers à des fins de double extorsion. Le script utilise ‘Start-Sleep’ pour insérer des délais entre les actions de téléchargement pour échapper aux environnements sandbox et d’analyse.
Les chercheurs de Cisco Talos fournissent deux ensembles d’indicateurs de compromission (IOC) observés dans les attaques, qui incluent les fichiers téléchargés par l’auteur de la menace sur les machines compromises et les fichiers Velociraptor.