Chiến dịch Warlock ransomware, do các nhóm tin tặc liên kết với Trung Quốc thực hiện, đã nổi lên như một mối lo ngại an ninh mạng đáng kể. Sự gia tăng hoạt động này được thúc đẩy bởi việc khai thác zero-day một lỗ hổng CVE nghiêm trọng trong Microsoft SharePoint.

Cơ sở hạ tầng tấn công tinh vi của nhóm, cùng với các bằng chứng về hoạt động gián điệp từ năm 2019, cho thấy một bức tranh mối đe dọa phức tạp. Trong đó, các hoạt động tội phạm mạng và được nhà nước bảo trợ ngày càng hội tụ, tạo ra những thách thức mới cho an ninh mạng toàn cầu.

Khai thác Lỗ hổng Zero-day trong Microsoft SharePoint

Hoạt động Warlock ransomware bắt đầu được chú ý rộng rãi vào tháng 7 năm 2025. Các nhà nghiên cứu bảo mật đã phát hiện tin tặc triển khai mã độc này để khai thác lỗ hổng zero-day ToolShell trong Microsoft SharePoint.

Lỗ hổng này được định danh là CVE-2025-53770. Việc khai thác tích cực bắt đầu từ ngày 19 tháng 7 năm 2025, do nhiều nhóm tin tặc có trụ sở tại Trung Quốc thực hiện.

Điều này xảy ra trước khi Microsoft kịp thời phát hành các bản vá cần thiết, cho thấy khả năng phản ứng nhanh và tận dụng cơ hội của các nhóm tấn công.

Microsoft SharePoint là một nền tảng quản lý tài liệu và cộng tác phổ biến trong các doanh nghiệp. Do đó, việc khai thác lỗ hổng trong SharePoint có thể dẫn đến chiếm quyền điều khiển hệ thống và truy cập vào dữ liệu nhạy cảm ở quy mô lớn.

Không giống như các hoạt động mã độc ransomware điển hình có nguồn gốc từ Nga hoặc các quốc gia thuộc Cộng đồng các Quốc gia Độc lập (CIS), Warlock dường như có nguồn gốc từ Trung Quốc. Điều này đánh dấu một sự thay đổi đáng chú ý trong bối cảnh các mối đe dọa mạng toàn cầu.

Lỗ hổng ToolShell đã thu hút sự chú ý đồng thời từ ba nhóm tin tặc khác nhau liên kết với Trung Quốc. Microsoft đã xác định Budworm (còn gọi là Linen Typhoon hoặc APT27), Sheathminer (Violet Typhoon hoặc APT31) và Storm-2603 là những nhóm tích cực khai thác zero-day này.

Để biết thêm chi tiết về các lỗ hổng bảo mật được công bố, các tổ chức nên thường xuyên tham khảo National Vulnerability Database (NVD) để đảm bảo hệ thống luôn được cập nhật bản vá.

Các Nhóm Tấn công và Chiến thuật Tinh vi

Trong số các tác nhân đã được xác định, Storm-2603 nổi bật hơn cả. Nhóm này đã tận dụng lỗ hổng CVE-2025-53770 để triển khai cả payload Warlock ransomware và LockBit ransomware.

Việc triển khai kép này cho thấy khả năng thích ứng và tối đa hóa lợi nhuận của nhóm. Đáng chú ý, hoạt động Warlock mới này dường như không liên quan gì đến một mối đe dọa ransomware cũ hơn đã từng được gọi là Warlock Dark Army, ám chỉ sự xuất hiện của một thực thể mới hoặc sự tái tổ chức chiến dịch.

Nghiên cứu chi tiết của CheckPoint vào cuối tháng 7 đã tiết lộ rằng Storm-2603 sử dụng nhiều payload ransomware, thường đóng gói chúng lại với nhau trong các cuộc tấn công. Chiến thuật này tăng cường khả năng lây nhiễm, gây nhầm lẫn trong phân tích và tối đa hóa tác động của cuộc tấn công mạng.

Nhóm này thể hiện sự tinh vi về kỹ thuật thông qua việc sử dụng DLL sideloading. Đây là một chiến thuật được ưa chuộng bởi các nhóm tin tặc Trung Quốc để duy trì sự bền bỉ, né tránh các giải pháp phòng thủ và thực thi mã độc trong các quy trình hợp pháp.

Ngoài ra, chúng còn triển khai một framework command and control (C2) tùy chỉnh, được nội bộ gọi là ak47c2. Việc phát triển C2 tùy chỉnh giúp nhóm kiểm soát tốt hơn các hoạt động độc hại và làm cho việc phát hiện trở nên khó khăn hơn đối với các hệ thống an ninh.

Các nhà nghiên cứu bảo mật từ Palo Alto Networks Unit 42 đã xác định bộ công cụ Project AK47 được sử dụng bởi Storm-2603 (được định danh CL-CRI-1040). Bộ công cụ này bao gồm một backdoor, các loader DLL sideloading và payload ransomware AK47/Anylock, cho thấy một hệ thống công cụ tấn công toàn diện.

Thủ đoạn hoạt động của nhóm bao gồm việc lợi dụng ứng dụng 7zip hợp pháp để sideload một loader 7z.dll độc hại. Kỹ thuật này đã được quan sát thấy trong nhiều chiến dịch tấn công khác nhau, cho thấy tính nhất quán và hiệu quả trong chiến lược của chúng để tránh bị phát hiện ban đầu.

Mối liên hệ với các Biến thể Ransomware khác

Phân tích của Trend Micro gợi ý rằng Warlock ransomware có thể là một phiên bản đổi tên (rebrand) của ransomware Anylock cũ hơn. Bằng chứng được đưa ra là phần mở rộng tệp .x2anylock được thêm vào các tệp đã bị mã hóa.

Việc đổi tên hoặc tái sử dụng mã là một chiến thuật phổ biến trong giới tội phạm mạng để tránh bị phát hiện và khai thác các cơ sở hạ tầng đã được kiểm nghiệm.

Ngoài ra, các nhà nghiên cứu của Trend cũng quan sát thấy biến thể Warlock được phân tích dường như là một phiên bản đã sửa đổi của LockBit 3.0. Điều này cho thấy khả năng chia sẻ mã hoặc mua lại giữa các nhóm tin tặc khác nhau, phức tạp hóa việc theo dõi nguồn gốc và mối quan hệ giữa các biến thể ransomware.

Công ty bảo mật cũng xác định các kết nối có thể có với hoạt động ransomware Black Basta đã ngừng hoạt động. Những điểm tương đồng được ghi nhận bao gồm các chiến thuật tấn công tương tự, phong cách đàm phán và mô hình lựa chọn nạn nhân. Điều này cho thấy sự liên kết hoặc học hỏi lẫn nhau giữa các nhóm tội phạm mạng.

Sự Hội tụ giữa Hoạt động Gián điệp và Ransomware

Điều đáng lo ngại nhất là các mối liên hệ của chiến dịch Warlock ransomware với các hoạt động gián điệp tập trung trước đây. Các cuộc điều tra của Symantec và Carbon Black đã phát hiện các công cụ né tránh phòng thủ được ký bằng một chứng chỉ số bị đánh cắp từ “coolschool”.

Chứng chỉ này (Serial: 4deb2644a5ad1488f98f6a8d6bca1fab) đã được sử dụng ít nhất từ năm 2022. Nó có liên quan đến các triển khai Cobalt Strike trước đây và khai thác driver lỗ hổng, cho thấy một lịch sử hoạt động gián điệp lâu dài và phức tạp.

Các nhà nghiên cứu của TeamT5 trước đây đã kết nối chứng chỉ coolschool với CamoFei, một nhóm APT (Advanced Persistent Threat) Trung Quốc hoạt động từ năm 2019, thực hiện các hoạt động gián điệp trên toàn cầu.

Điều này cho thấy một sự liên kết rõ ràng giữa hoạt động của Warlock và các chiến dịch được nhà nước hậu thuẫn, làm mờ đi ranh giới giữa tội phạm mạng và gián điệp.

SentinelOne, công ty gọi nhóm này là ChamelGang, đã ghi nhận các cuộc tấn công chống lại cơ sở hạ tầng quan trọng ở Hoa Kỳ, Brazil, Ấn Độ, Nga, Đài Loan và Nhật Bản. Trong đó bao gồm các cuộc tấn công nhằm vào Phủ Tổng thống Brazil và Viện Khoa học Y tế Toàn Ấn Độ của Ấn Độ, nhấn mạnh mục tiêu chiến lược và khả năng gây ra rủi ro bảo mật nghiêm trọng.

Hoạt động Warlock đại diện cho một liên minh tội phạm mạng mới nổi có trụ sở tại Trung Quốc, nơi các hoạt động gián điệp và mã độc ransomware đan xen. Bằng chứng cho thấy các tác nhân có thể hoạt động như nhà thầu hỗ trợ gián điệp do nhà nước tài trợ.

Đồng thời, chúng cũng tiến hành các chiến dịch ransomware mang lại lợi nhuận cao. Mô hình lai này làm phức tạp việc quy kết và chứng minh cách các hoạt động tội phạm mạng có thể che giấu hoặc tạo điều kiện cho các hoạt động thu thập thông tin tình báo, đặt ra thách thức lớn cho threat intelligence.