I ricercatori della Counter Threat Unit™ (CTU) stanno monitorando un team di hacker che si fa chiamare Warlock Group. Il gruppo, che i ricercatori della CTU™ seguono con il nome di GOLD SALEM, ha compromesso diverse reti e ha diffuso il suo ransomware Warlock da marzo 2025. Microsoft si riferisce a questo gruppo di criminali informatici come Storm-2603 e lo definisce “con moderata certezza un aggressore con sede in Cina”, ma i ricercatori della CTU non dispongono di prove sufficienti per confermare questa ipotesi.
Vittimologia e attività online
Le 60 vittime rese note dal gruppo fino a metà settembre 2025 lo collocano nella media rispetto ad altre operazioni di ransomware nello stesso periodo. Le vittime di GOLD SALEM vanno da piccole entità commerciali o governative a grandi multinazionali sparse in Nord America, Europa e Sud America. Come la maggior parte dei gruppi di ransomware, GOLD SALEM ha in gran parte evitato di compromettere organizzazioni con sede in Cina e Russia, nonostante l’ampio bacino di potenziali obiettivi. Tuttavia, l’8 settembre il team ha pubblicato il nome di una vittima con sede in Russia sul proprio sito dedicato alle fughe di notizie (DLS). L’entità commerciale fornisce servizi di ingegneria e attrezzature all’industria della produzione di energia elettrica. Nonostante ospiti un nutrito contingente di distributori globali di ransomware, la Federazione Russa è nota per perseguire in modo aggressivo coloro che attaccano le organizzazioni in Russia e nei paesi limitrofi. L’inserimento di una vittima russa nell’elenco di GOLD SALEM suggerisce che il gruppo potrebbe operare al di fuori di questa giurisdizione.
Continua a leggere.
