Зловмисники Storm-2603 зловживають Velociraptor DFIR-інструментом у атаках з Warlock, LockBit та Babuk ransomware. Атака починається з експлуатації SharePoint-вразливостей ToolShell, доставляючи вразливу версію Velociraptor (CVE-2025-6264) для ескалації привілеїв та виконання команд. Далі створюються адміністраторські акаунти, латеральний рух через Smbexec, модифікація GPO Active Directory для вимикання захисту перед ексфільтрацією та розгортанням ransomware. Це перше використання Babuk цією групою.

Вплив: швидке поширення, плутанина в атрибуції, значна шкода. Групу пов’язують з китайськими акторами через OPSEC та часові зони. Рекомендації: оновити Velociraptor, моніторити DFIR-інструменти, посилити захист SharePoint та Active Directory, виявляти підозрілі дії.