En juillet 2025, le paysage de la cybersécurité a subi une perturbation majeure lorsque les acteurs du ransomware Warlock ont commencé à exploiter une vulnérabilité critique de type zero-day dans Microsoft SharePoint. Identifiée le 19 juillet 2025 et répertoriée sous le code CVE-2025-53770, cette vulnérabilité est devenue un vecteur clé pour le déploiement mondial du ransomware Warlock.
Ce développement a marqué une escalade cruciale des menaces cybernétiques, combinant des techniques d’exploitation éprouvées avec de nouvelles stratégies malveillantes. Apparu pour la première fois en juin 2025, Warlock s’est fait connaître grâce aux attaques zero-day ToolShell, se distinguant par un cadre opérationnel basé en Chine, s’écartant des opérations de ransomware généralement centrées sur la Russie.
Initialement perçu comme une menace localisée, Warlock a rapidement évolué en une campagne coordonnée, ciblant divers secteurs allant des entreprises d’ingénierie au Moyen-Orient aux institutions financières américaines. Les analystes de Symantec et Carbon Black ont découvert une structure opérationnelle sophistiquée derrière Warlock, identifiée comme Storm-2603 par le renseignement sur les menaces de Microsoft. Le groupe a utilisé Warlock aux côtés d’autres ransomwares comme LockBit 3.0, démontrant un arsenal de cyberattaques flexible et étendu.
Le mécanisme d’infection de Warlock témoigne d’une sophistication technique élevée, utilisant principalement le chargement de DLL avec l’application légitime 7-Zip pour exécuter des charges malveillantes. Cette méthode, souvent employée par des acteurs de la menace chinois, contourne les sécurités conventionnelles en intégrant du code malveillant dans des processus légitimes. Une fois activé, Warlock chiffre agressivement les fichiers avec l’extension .x2anylock.
Les chercheurs ont noté que Warlock semble être une version rebrandée de l’ancien payload Anylock, incorporant des éléments de LockBit 3.0. Le ransomware utilise un cadre de commande et de contrôle personnalisé, ak47c2, pour maintenir une communication persistante avec les systèmes infectés. De plus, il emploie des outils d’évasion de défense sur mesure, signés avec un certificat volé, et utilise des techniques de “Bring Your Own Vulnerable Driver” pour désactiver les mesures de sécurité et établir un contrôle sur les systèmes.
