Les acteurs de la menace basés en Chine ont abusé du Velociraptor obsolète pour maintenir leur persistance et aider à déployer les ransomwares Warlock, LockBit et Babuk.
Velociraptor, l’outil open source DFIR destiné à traquer les intrus, est lui-même devenu malveillant : il a été récupéré par des acteurs malveillants dans le cadre d’opérations coordonnées de ransomware. Jamais lié à des attaques d’extorsion auparavant, l’outil s’est avéré abusé par un groupe basé en Chine, Storm-2603, auparavant connu pour exploiter les vulnérabilités de Microsoft SharePoint.
Les chercheurs de Cisco Talos ont repéré cette activité pour la première fois en août 2025 alors qu’ils répondaient à un incident de ransomware multivecteur sans nom.
« Talos a répondu à une attaque de ransomware par des acteurs qui semblaient être affiliés au ransomware Warlock, sur la base de leur demande de rançon et de l’utilisation du site de fuite de données (DLS) de Warlock », ont déclaré les chercheurs de Talos dans un article de blog. « Ils ont déployé les ransomwares Warlock, LockBit et Babuk pour chiffrer les machines virtuelles (VM) VMware ESXi et les serveurs Windows. Cela a gravement impacté l’environnement informatique du client. »
Talos a attribué l’activité au groupe avec une confiance modérée, citant « des outils, des tactiques, des techniques et des procédures (TTP) qui se chevauchent ».
Quand un bon outil devient voyou
Velociraptor est généralement utilisé par les défenseurs qui déploient ses agents sur les systèmes Windows, Linux et macOS pour collecter en continu des données télémétriques et répondre aux événements de sécurité. Mais dans cette campagne, les attaquants ont utilisé une ancienne version vulnérable (0.73.4.0) qui les exposait à une faille d’élévation de privilèges (CVE-2025-6264), permettant l’exécution de commandes et la prise de contrôle complète du point final.
Les agents Velociraptor détournés ont également été, dans les cas observés par la CTU de Sophos, manipulés pour télécharger et exécuter du code Visual Studio, susceptible de créer un tunnel vers un serveur de commande et de contrôle (C2). Talos a noté que Velociraptor a continué à se lancer même après l’isolement d’un hôte infecté, soulignant le rôle de l’outil dans le maintien de la persistance au sein des systèmes compromis.
« Velociraptor a joué un rôle important dans cette campagne, garantissant que les acteurs maintiennent un accès furtif et persistant tout en déployant les ransomwares LockBit et Babuk », ont ajouté les chercheurs de Talos. « L’ajout de cet outil dans le guide des ransomwares est conforme aux conclusions du « Bilan de l’année 2024 » de Talos, qui souligne que les acteurs de la menace utilisent une variété croissante de produits commerciaux et open source.
Attribution et cocktail de ransomwares
Talos relie la campagne à Storm-2603, un acteur malveillant présumé basé en Chine, citant des TTP correspondants tels que l’utilisation de « cmd.exe », la désactivation des protections Defender, la création de tâches planifiées et la manipulation des objets de stratégie de groupe. L’utilisation de plusieurs souches de ransomwares en une seule opération – Warlock, LockBit et Babuk – a également renforcé la confiance dans cette attribution.
« Talos a observé des exécutables de ransomware sur des machines Windows identifiés par les solutions EDR comme LockBit, ainsi que des fichiers cryptés avec l’extension Warlock ‘xlockxlock' », ont ajouté les chercheurs. « Il y avait également un binaire Linux sur les serveurs ESXi signalé comme le chiffreur Babuk, qui n’atteignait qu’un cryptage partiel et ajoutait des fichiers avec ‘.babyk’. »
Les chercheurs de Talos ont ajouté que la présence du ransomware Babuk dans cette faille est nouvelle. Strom-2603 n’a pas été publiquement lié à Babuk auparavant, alors que leur déploiement de Warlock et Lockbit dans la même attaque a déjà été signalé. Une stratégie de double extorsion était également évidente lorsque les attaquants exfiltraient des données sensibles à l’aide d’un script PowerShell furtif, qui supprimait les rapports de progression et incluait des retards pour échapper à la détection du bac à sable.
Talos a exhorté les défenseurs à vérifier l’intégrité et la version de tous les déploiements de Velociraptor, en s’assurant qu’ils sont mis à jour vers la version 0.73.5 ou ultérieure, qui corrige la faille d’élévation de privilèges CVE-2025-6264. Cette divulgation fait suite à un autre cas cette semaine de logiciels open source légitimes devenus malveillants – le précédent impliquant des pirates informatiques liés à la Chine utilisant l’outil Nezha RMM pour déployer GhostRAT.
