Creían que era una herramienta de rescate; resultó ser una "puerta trasera" para hackers: Velociraptor ya está en tu VMware

Los hackers comenzaron a usar la herramienta de informática forense y respuesta a incidentes (DFIR) Velociraptor para ataques en los que se despliegan los ransomware LockBit y Babuk. Los especialistas de Cisco Talos vinculan estas campañas con el grupo Storm-2603, que opera desde China. Según los analistas, los atacantes emplearon una versión obsoleta de Velociraptor con la vulnerabilidad de elevación de privilegios CVE-2025-6264 (puntaje CVSS: 5.5) para obtener el control total de los sistemas infectados.

Velociraptor fue creado por Mike Cohen como una herramienta DFIR de código abierto, y más tarde fue adquirida por Rapid7, que desarrolla su versión comercial. A finales de agosto, especialistas de Sophos informaron que los atacantes ya estaban usando este software para acceso remoto. A través de él cargaban y ejecutaban Visual Studio Code en los hosts comprometidos, creando un túnel de comunicación cifrado con servidores C2.

Según los datos de Cisco Talos, el ataque comenzaba con la creación de cuentas de administrador locales sincronizadas con Entra ID. Con ellas, los atacantes accedían a la consola VMware vSphere y se afianzaban en la infraestructura virtual. Después instalaban la versión antigua de Velociraptor 0.73.4.0, que contenía la vulnerabilidad CVE-2025-6264, la cual permitía ejecutar comandos arbitrarios y tomar el control del sistema. La herramienta se utilizó de forma repetida incluso después de aislar el host, garantizando una presencia persistente en la red.

Los atacantes también emplearon comandos al estilo Impacket smbexec para ejecutar programas de forma remota y crearon tareas programadas con scripts por lotes. Para debilitar la protección, mediante las políticas de grupo de Active Directory desactivaron módulos de protección en Microsoft Defender, incluido el monitoreo de la actividad de archivos y procesos.

Los sistemas de detección de amenazas registraron que en máquinas con Windows se ejecutó el ransomware LockBit; sin embargo, los archivos cifrados tenían la extensión «.xlockxlock», observada anteriormente en ataques de Warlock. En servidores VMware ESXi, los investigadores encontraron un binario Linux identificado como Babuk. Para el cifrado masivo de datos se empleó un cifrador PowerShell sin archivos que generaba nuevas claves AES en cada ejecución. Antes de eso, otro script de PowerShell exfiltraba documentos para la doble extorsión, añadiendo retrasos entre operaciones para evadir entornos aislados y sistemas de análisis.

La empresa Halcyon, en su estudio, señaló que Storm-2603 probablemente está vinculada a estructuras estatales chinas y anteriormente apareció bajo los nombres Warlock y CL-CRI-1040. El grupo actuó como socio de LockBit, combinando sus propias herramientas con soluciones ya hechas de ecosistemas cibercriminales conocidos. Cisco Talos presentó un conjunto de indicadores de compromiso, incluidos archivos subidos por los atacantes y rastros de actividad de Velociraptor registrados en los sistemas comprometidos.