Trend Micro beobachtete Anfang Januar einen Warlock-Angriff, bei dem sich die Täter 15 Tage im Netzwerk eines Opfers aufhielten, bevor sie die Ransomware ausführten. Die früheste verdächtige Aktivität ließ sich bis zum SharePoint-Arbeitsprozess (w3wp.exe) auf dem kompromittierten Server zurückverfolgen – ein Hinweis darauf, dass die Gruppe weiterhin ungepatchte SharePoint-Schwachstellen auf aus dem Internet erreichbaren Servern als primären Zugangspunkt ausnutzt.
Bereits im Vorjahr hatte Trend Micro beobachtet, wie Warlock SharePoint-Lücken ausnutzte. Dazu zählten Schwachstellen in lokal betriebenen Servern: die Spoofing-Lücke CVE-2025-49706, die Schwachstelle zur Remotecodeausführung CVE-2025-49704 sowie die verwandten Schwachstellen CVE-2025-53770 und CVE-2025-53771. Während sich das Vorgehen nach der Kompromittierung weiterentwickelt, bleibt der Erstzugang unverändert.
Die auffälligsten Neuerungen betreffen Persistenz, laterale Bewegung und Tarnung. Laut Trend Micro installierten die Angreifer den Fernzugriffsdienst TightVNC unauffällig als Windows-Dienst über PsExec, um dauerhaften grafischen Fernzugriff zu erhalten. Später kam Yuze zum Einsatz, ein schlankes Open-Source-Reverse-Proxy-Werkzeug in C, das SOCKS5-Verbindungen über die Ports 80, 443 und 53 aufbaut und so bösartigen Datenverkehr im normalen Netzwerkverkehr verbirgt.
Für die BYOVD-Technik nutzte die Gruppe eine Schwachstelle im Treiber NSecKrnl.sys aus, um Sicherheitsprodukte auf Kernel-Ebene zu beenden. Damit ersetzte sie den zuvor verwendeten Treiber googleApiUtil64.sys – nach Einschätzung der Forscher eine “fortgeschrittenere Weiterentwicklung des früheren Treibermissbrauchs”.
Diese Werkzeuge ergänzen bereits bekannte Techniken: das DFIR-Tool Velociraptor als primäres Command-and-Control-Framework, einen einzelnen Cloudflare-Tunnel für den Fernzugriff sowie Rclone, getarnt als TrendSecurity.exe, für die Datenexfiltration. Laut Trend Micro entsteht so eine mehrschichtige, redundante Angriffskette, die Störungen überstehen soll. Der erweiterte Werkzeugkasten verschaffe Warlock “mehrere redundante C2-Kanäle, die sich mit legitimem Netzwerkverkehr vermischen”.
Warlock ist erst seit Kurzem aktiv, entwickelt sich aber rasch. Den öffentlichen Auftritt hatte die Gruppe im Juni des Vorjahres im russischen Cybercrime-Forum RAMP; danach reklamierte sie mehr als ein Dutzend Angriffe für sich, darunter auf Behörden mehrerer Länder sowie auf private Organisationen.
Trend Micro rät, öffentlich bekannte Schwachstellen umgehend zu patchen, besonders in weit verbreiteter Server-Software wie SharePoint. Ergänzend sollten Unternehmen direkten RDP- oder Admin-Zugriff aus dem Internet entfernen, Mehr-Faktor-Authentifizierung an allen externen Zugangspunkten durchsetzen, den Missbrauch legitimer Verwaltungs- und Fernzugriffswerkzeuge überwachen sowie Erkennungsregeln für auffällige Treiberaktivität und Kernel-Manipulationen einrichten.
