A Microsoft confirmou que a exploração ativa dos servidores PaperCut está vinculada a ataques projetados para distribuir as famílias de ransomware Cl0p e LockBit.

A equipe de inteligência de ameaças da gigante da tecnologia está atribuindo um subconjunto das invasões a um ator com motivação financeira com o nome de Lace Tempest.

“Em ataques observados, Lace Tempest executou vários comandos do PowerShell para entregar um TrueBot DLL, que se conectou a um servidor C2, tentou roubar credenciais LSASS e injetou a carga útil do TrueBot no serviço conhost.exe”, disse a Microsoft em uma série de tweets.

A Microsoft disse que o agente da ameaça incluiu as falhas do PaperCut em seu kit de ferramentas de ataque já em 13 de abril, corroborando a avaliação anterior do fornecedor de software de gerenciamento de impressão com sede em Melbourne.

Um cluster separado de atividade também foi detectado armando as mesmas falhas, incluindo aquelas que levam a infecções por ransomware LockBit.