Warlock (GOLD SALEM / Storm-2603) ist eine seit 2025 aktive, finanziell motivierte Gruppe mit China-Bezug (mittlere Konfidenz). Bekannt wurde sie durch die massenhafte Ausnutzung der SharePoint-„ToolShell“-Zero-Days im Juli 2025. Sie nutzt geleakte LockBit-3.0- und Babuk-Technik und hat auch DACH-Opfer.
Aktiv
Überwiegend geschlossene Datenerpressung + Verschlüsselung (mit Affiliate-Signalen)
GOLD SALEM (Secureworks/Sophos), Storm-2603 (Microsoft); Ransomware X2anylock / „AK47“
~März 2025 (öffentlich Juni 2025)
Kein Rebrand; Builder-Reuse (geleakter LockBit-3.0-Builder + Babuk-Variante)
China-Bezug (Microsoft, mittlere Konfidenz); finanziell motiviert
Technologie, Behörden, Finanzwesen, Fertigung, Bau, kritische Infrastruktur
Global (34+ Länder); DACH: Deutschland (Via Optronics), Österreich (Infoniqa)
unbekannt; 12–14 Tage Zahlungsfrist
~78 Opfer (Nov. 2025); Sample-Ablauflogik bis Sep. 2026
.x2anylock (auch .xlockxlock), .babyk (Babuk-Variante), LockBit-Endungen
How to decrypt my data.txt (auch .log)
Encryptor: aus geleaktem LockBit-3.0-Builder (vermutlich C++); AES-256 + RSA-2048.
Plattformen: Windows, Linux, VMware ESXi.
C2: eigenes ak47c2 (HTTP + DNS-Tunneling, XOR-Key VHBD@H).
Angriffsflächen-/Schwachstellen-Management schließt SharePoint-/Edge-Lücken; verhaltensbasierte 24/7-Erkennung im Cyber Defense Center fängt Web-Shells und GPO-Verteilung.