Una organización canadiense ha surgido como el centro de una campaña cibernética dirigida organizada por el grupo de actividad de amenazas conocido como STAC6565.
La empresa de ciberseguridad Sophos anunció que investigó aproximadamente 40 intrusiones vinculadas a este actor entre febrero de 2024 y agosto de 2025. Esta campaña está calificada con alta confianza por compartir superposiciones con un grupo de piratas informáticos conocido como Gold Blade, al que también se le rastrea con los nombres Earth Kapre, RedCurl y Red Wolf.
Se cree que el atacante con motivos financieros ha estado activo desde finales de 2018, inicialmente apuntando a organizaciones en Rusia, pero desde entonces se ha expandido para incluir organizaciones en Canadá, Alemania, Noruega, Rusia, Eslovenia, Ucrania, el Reino Unido y los Estados Unidos. El grupo tiene un historial de uso de correos electrónicos de phishing para realizar espionaje comercial.
Sin embargo, una ola reciente de ataques reveló que RedCurl estaba realizando ataques de ransomware utilizando una cepa de malware personalizada llamada QWCrypt. Una herramienta notable en el arsenal de un actor de amenazas es RedLoader. RedLoader envía información sobre el host infectado a un servidor de comando y control (C2) y ejecuta un script de PowerShell para recopilar detalles relacionados con el entorno de Active Directory (AD) comprometido.
«Este ataque refleja el enfoque geográfico inusualmente limitado del grupo, con casi el 80% de los ataques dirigidos a organizaciones en Canadá», dijo el investigador de Sophos Morgan Demboski. «Antes se centraba principalmente en el ciberespionaje, Gold Blade ha evolucionado sus operaciones hasta convertirlas en una operación híbrida que combina el robo de datos con la implementación selectiva de ransomware a través de un casillero personalizado llamado QWCrypt».
Otros objetivos notables incluyen Estados Unidos, Australia y el Reino Unido, siendo los sectores de servicios, manufactura, comercio minorista, tecnología, organizaciones no gubernamentales y transporte los más afectados durante este período.
Se dice que el grupo opera bajo un modelo de «hack-for-hire», realizando intrusiones personalizadas en nombre de los clientes e implementando ransomware de forma paralela para monetizar las intrusiones. El informe de 2020 del Grupo-IB señala que el grupo puede ser un grupo de habla rusa, pero actualmente no hay indicios que confirmen o rechacen esta evaluación.
Sophos describió a RedCurl como una «operación especializada» y dijo que la capacidad del actor de amenazas para refinar y evolucionar sus métodos, así como su capacidad para lanzar ataques de extorsión de bajo perfil, lo diferencian de otros grupos de delitos cibernéticos. Sin embargo, no hay evidencia que sugiera que esté patrocinado por el Estado o motivado políticamente.
La firma de ciberseguridad también señaló que el ritmo de la actividad está marcado por períodos de inactividad, seguidos de picos repentinos en ataques que utilizan tácticas mejoradas, lo que indica que los grupos de hackers pueden estar aprovechando el tiempo de inactividad para actualizar sus conjuntos de herramientas.
STAC6565 comienza con un correo electrónico de phishing dirigido al personal de recursos humanos (RRHH), engañándolos para que abran un documento malicioso disfrazado de currículum vitae o carta de presentación. Desde al menos noviembre de 2024, esta operación ha utilizado plataformas legítimas de búsqueda de empleo como Indeed, JazzHR y ADP WorkforceNow para cargar currículums armados como parte del proceso de solicitud de empleo.
«Las plataformas de reclutamiento permiten a los profesionales de recursos humanos ver cada currículum que reciben, por lo que alojar la carga útil en estas plataformas y entregarla a través de un dominio de correo electrónico de un solo uso no solo aumenta la probabilidad de que el documento se abra, sino que también evita la detección por parte de las protecciones basadas en correo electrónico», explicó Demboski.
En un incidente, se descubrió que un currículum falso subido a Indeed redirigía a los usuarios a una URL trampa, lo que en última instancia condujo a la implementación del ransomware QWCrypt por parte de la cadena RedLoader. Se observaron al menos tres secuencias de entrega de RedLoader diferentes en septiembre de 2024, marzo/abril de 2025 y julio de 2025. Huntress, eSentire y Bitdefender detallaron previamente algunos aspectos de la cadena de distribución.
Un cambio importante observado en julio de 2025 se refiere al uso de archivos ZIP abandonados por currículums falsos. Dentro del archivo hay un acceso directo de Windows (LNK) que disfraza el PDF. El archivo LNK utiliza «rundll32.exe» para recuperar una versión renombrada de «ADNotificationManager.exe» de un servidor WebDAV alojado detrás del dominio de Cloudflare Workers.
Luego, el ataque lanza un ejecutable legítimo de Adobe para descargar una DLL de RedLoader (llamada «srvcli.dll» o «netutils.dll») desde la misma ruta WebDAV. La DLL se conecta a un servidor externo, descarga y ejecuta la carga útil de la segunda etapa. Esta carga útil es un binario independiente que es responsable de conectarse a otro servidor y recuperar un ejecutable independiente de tercera etapa junto con un archivo DAT malicioso y un archivo 7-Zip renombrado.
Ambas etapas dependen del Asistente de compatibilidad de programas de Microsoft (‘pcalua.exe’) para ejecutar la carga útil. Este es un enfoque que hemos visto en campañas anteriores. La única diferencia es que el formato de carga útil se trasladó a un EXE en lugar de una DLL en abril de 2025.
«La carga útil analiza el archivo .dat malicioso y verifica la conectividad a Internet. Luego se conecta a otro servidor C2 controlado por un atacante para crear y ejecutar un script .bat que automatiza la detección del sistema», dijo Sophos. «El script descomprime Sysinternals AD Explorer y ejecuta comandos para recopilar detalles como información del host, discos, procesos y productos antivirus (AV) instalados».
Los resultados de la ejecución se empaquetan en un archivo 7-Zip cifrado y protegido con contraseña y se transfieren a un servidor WebDAV controlado por el atacante. También se ha observado que RedCurl utiliza servidores proxy inversos de código abierto RPivot y Chisel SOCKS5 para comunicaciones C2.
Otra herramienta utilizada en el ataque es una versión personalizada de la herramienta Terminator que aprovecha el controlador Zemana AntiMalware firmado para eliminar procesos relacionados con el antivirus, conocido como ataque Bring Your Own Vulnerable Driver (BYOVD). En al menos un caso ocurrido en abril de 2025, el atacante cambió el nombre de ambos componentes antes de distribuirlos a todos los servidores en el entorno de la víctima a través de un recurso compartido SMB.
Sophos también señaló que la mayoría de estos ataques fueron detectados y mitigados antes de que se instalara QWCrypt. Sin embargo, tres de los ataques (uno en abril de 2025 y dos en julio de 2025) se implementaron con éxito.
«En el incidente de abril, los atacantes vieron y recopilaron manualmente archivos confidenciales y permanecieron inactivos durante más de cinco días antes de desplegar los casilleros», agrega el informe. «Este retraso puede sugerir que los atacantes han recurrido al ransomware después de intentar monetizar los datos o de no poder conseguir un comprador».
Los scripts de implementación de QWCrypt se adaptan al entorno de destino y, a menudo, incluyen una identificación específica de la víctima en el nombre del archivo. Cuando se inicia el script, verifica si el servicio Terminator se está ejecutando antes de tomar medidas para deshabilitar la recuperación y ejecutar ransomware en dispositivos finales de la red, incluido el hipervisor de la organización.
En la etapa final, el script ejecuta un script de limpieza por lotes para eliminar las instantáneas existentes y todos los archivos del historial de la consola PowerShell, y evita la recuperación forense.
«La explotación por parte de Gold Blade de su plataforma de adopción, los ciclos de inactividad y explosión, y el refinamiento continuo de su método de entrega demuestran un nivel de madurez operativa que no suele asociarse con atacantes motivados financieramente», dijo Sophos. «El grupo mantiene un conjunto de herramientas de ataque completo y bien organizado, que incluye versiones modificadas de herramientas de código abierto y archivos binarios personalizados para facilitar una cadena de entrega de malware de varios pasos».
La divulgación se produce cuando Huntress dijo que ha notado un aumento significativo en los ataques de ransomware contra hipervisores, impulsados en gran medida por Akira Group, del 3% en el primer semestre de este año al 25% en lo que va del segundo semestre del año.
«Los operadores de ransomware implementan cargas útiles de ransomware directamente a través del hipervisor, evitando por completo las protecciones tradicionales de los terminales», escribieron los investigadores Anna Pham, Ben Bernstein y Dray Agha. «En algunos casos, los atacantes utilizan herramientas integradas como OpenSSL para cifrar el volumen de la máquina virtual, evitando la necesidad de cargar archivos binarios de ransomware personalizados».
«Este cambio resalta una tendencia creciente e inquietante: los atacantes están apuntando a la infraestructura que controla todos los hosts, y el acceso al hipervisor permite a los adversarios amplificar dramáticamente el impacto de sus intrusiones».
Dada la concentración de actores de amenazas en el hipervisor, recomendamos utilizar cuentas ESXi locales, aplicar autenticación multifactor (MFA), implementar políticas de contraseñas seguras, separar las redes de administración del hipervisor de las redes de producción y de consumo, implementar jump boxes para auditar el acceso de los administradores, restringir el acceso al plano de control y restringir el acceso a las interfaces de administración de ESXi a dispositivos de administración específicos.
Source link
