Forscher der Sophos Counter Risk Unit™ (CTU) haben eine Bedrohungsgruppe, die sich selbst als Warlock Group bezeichnet, näher unter die Lupe genommen. Die Cyberkriminellen, die von den Forschern als GOLD SALEM verfolgt werden, kompromittieren seit März 2025 Netzwerke und setzen dabei ihre „Warlock-Ransomware“ ein.
Opfer reichen von kleinen kommerziellen Organisationen bis zu multinationalen Konzernen
Die 60 veröffentlichten Opfer der Gruppe weisen kein bestimmtes Angriffsziel aus. Zu den Opfern von GOLD SALEM zählen kleine kommerzielle oder staatliche Einrichtungen bis hin zu großen multinationalen Konzernen in Nordamerika, Europa und Südamerika. Wie die meisten Ransomware-Gruppen hat GOLD SALEM es trotz der großen Anzahl potenzieller Ziele weitgehend vermieden, Organisationen in China und Russland anzugreifen. Am 8. September veröffentlichte die Gruppe jedoch ungewöhnlicherweise den Namen eines in Russland ansässigen Opfers auf ihrer Leak-Website. Das kommerzielle Unternehmen bietet Ingenieurdienstleistungen und Ausrüstung für die Stromerzeugungsindustrie an. Obwohl die Russische Föderation eine große Anzahl globaler Ransomware-Distributoren beherbergt, ist sie dafür bekannt, Gruppen, die Organisationen in Russland und seinen Nachbarländern angreifen, aggressiv zu verfolgen. Die Auflistung eines russischen Opfers durch GOLD SALEM deutet darauf hin, dass die Gruppe möglicherweise von außerhalb dieser Gerichtsbarkeit operiert.
GOLD SALEM warfare bis zu einem Beitrag im RAMP-Underground-Discussion board im Juni 2025 nicht öffentlich präsent. Darin forderte ein Vertreter der Gruppe Exploits für gängige Unternehmensanwendungen (z. B. Veeam, ESXi, SharePoint) sowie Instruments zur Deaktivierung von Endpoint Detection and Response (EDR)-Systemen und anderen Sicherheitsprodukten. In einem nachfolgenden Beitrag wurde um die Zusammenarbeit mit Preliminary Entry Brokern (IABs) bei der Bereitstellung potenzieller Opfer gebeten. Es ist unklar, ob die Gruppe Zugriff für eigene Angriffe suchte, Companion für eine Ransomware-as-a-Service (RaaS)-Operation rekrutierte – oder beides im Sinn hatte.
Kriminelle sind mit Combine aus bekannten Strategien erfolgreich
Ende Juli analysierten CTU-Forscher einen Vorfall, bei dem GOLD SALEM die ToolShell-Exploit-Kette für den Erstzugriff auf SharePoint-Server nutzte. Diese Exploit-Kette nutzte eine Kombination der Schwachstellen (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771) und ermöglicht es dem Angreifer, beliebige Befehle aus der Ferne ausführen und sich die resultierenden Ergebnisse anzeigen lassen. Die heruntergeladene ausführbare Datei warfare ein Golang-basierter WebSockets-Server, der unabhängig von der Internet-Shell weiterhin Zugriff auf den kompromittierten Server ermöglichte. CTU-Forscher beobachteten außerdem, wie die Gruppe eine EDR-Lösung umging, indem es die BYOVD-Technik (Deliver Your Personal Weak Driver) und einen anfälligen Baidu Antivirus-Treiber (umbenannt in googleApiUtil64.sys) nutzte, um den EDR-Agenten zu beenden. Eine Schwachstelle in diesem Treiber (CVE-2024-51324) ermöglicht die Beendigung beliebiger Prozesse.
Microsofts Profil der Gruppe vermerkt zudem die Ausführung von Mimikatz, „das gezielt auf den Speicher des Native Safety Authority Subsystem Service (LSASS) abzielte, um Klartext-Anmeldeinformationen zu extrahieren“. Microsoft beobachtete außerdem die Verwendung von PsExec und Impacket für laterale Bewegungen sowie die Verwendung von Gruppenrichtlinienobjekten (GPO) zur Bereitstellung der Warlock-Nutzlast.
Im August beobachteten CTU-Forscher, wie GOLD SALEM das legitime Open-Supply-Device Velociraptor für digitale Forensik und Incident Response (DFIR) missbrauchte, um einen Visible-Studio-Code-Netzwerktunnel innerhalb der kompromittierten Umgebung einzurichten. Einige dieser Vorfälle endeten mit der Bereitstellung der Warlock-Ransomware.
Alle Particulars zur Analyse sowie dedizierte Risk-Indikatoren gibt es im englischen Blogartikel.
