Ricerche sulle CyberMinacce

L’operazione Warlock di GOLD SALEM si aggiunge al già affollato panorama dei ransomware

Il gruppo emergente dimostra competenza nell'uso di tecniche consolidate e un pizzico di ingegnosità
Scritto da
19 Settembre 2025
Threat Research cybercrime featured GOLD SALEM Ransomware Warlock

I ricercatori della Counter Threat Unit™ (CTU) stanno monitorando un team di hacker che si fa chiamare Warlock Group. Il gruppo, che i ricercatori della CTU™ seguono con il nome di GOLD SALEM, ha compromesso diverse reti e ha diffuso il suo ransomware Warlock da marzo 2025. Microsoft si riferisce a questo gruppo di criminali informatici come Storm-2603 e lo definisce “con moderata certezza un aggressore con sede in Cina”, ma i ricercatori della CTU non dispongono di prove sufficienti per confermare questa ipotesi.

Vittimologia e attività online

Le 60 vittime rese note dal gruppo fino a metà settembre 2025 lo collocano nella media rispetto ad altre operazioni di ransomware nello stesso periodo. Le vittime di GOLD SALEM vanno da piccole entità commerciali o governative a grandi multinazionali sparse in Nord America, Europa e Sud America. Come la maggior parte dei gruppi di ransomware, GOLD SALEM ha in gran parte evitato di compromettere organizzazioni con sede in Cina e Russia, nonostante l’ampio bacino di potenziali obiettivi. Tuttavia, l’8 settembre il team ha pubblicato il nome di una vittima con sede in Russia sul proprio sito dedicato alle fughe di notizie (DLS). L’entità commerciale fornisce servizi di ingegneria e attrezzature all’industria della produzione di energia elettrica. Nonostante ospiti un nutrito contingente di distributori globali di ransomware, la Federazione Russa è nota per perseguire in modo aggressivo coloro che attaccano le organizzazioni in Russia e nei paesi limitrofi. L’inserimento di una vittima russa nell’elenco di GOLD SALEM suggerisce che il gruppo potrebbe operare al di fuori di questa giurisdizione.

Continua a leggere.

L’autore

Sophos Counter Threat Unit™ (CTU) researchers are recognized authorities in the cybersecurity field, regularly contributing expert analysis to global media, publishing technical analyses for the security community, and presenting about emerging threats at leading security conferences. Backed by Sophos’ advanced security technologies and a broad network of intelligence contacts and partners, the CTU™ plays a critical role in identifying and tracking threat actors and analyzing anomalous activity, uncovering new attack techniques, threats, and major shifts in the threat landscape.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *