Las organizaciones canadienses están en el centro de una campaña cibernética dirigida lanzada por un grupo de actividades de amenazas llamado ” STAC6565.
La empresa de ciberseguridad Sophos dijo que investigó casi 40 intentos de intrusión relacionados con el actor de amenazas entre febrero de 2024 y agosto de 2025. Se considera que la campaña tiene una alta probabilidad de superposición con un grupo de piratas informáticos llamado Gold Blade, también conocido como Earth Kapre, RedCurl y Red Wolf.
Se cree que el actor de amenazas con motivación financiera ha estado activo desde finales de 2018, inicialmente apuntando a empresas en Rusia antes de expandir su enfoque a empresas en Canadá, Alemania, Noruega, Rusia, Eslovenia, Ucrania, el Reino Unido y Estados Unidos. El grupo tiene un historial de uso de correos electrónicos de phishing para espionaje comercial.
Sin embargo, en oleadas recientes de ataques, se descubrió que los ataques de RedCurl Ransomware llevan a cabo una cepa de malware personalizada llamada ” QWCrypt. Una de las herramientas más notables en el arsenal del actor de amenazas es RedLoader, que envía información sobre el host infectado a un servidor de comando y control (C2) y ejecuta scripts de PowerShell para recopilar detalles sobre el entorno de Active Directory (AD) comprometido.
“Esta campaña refleja un enfoque geográfico inusualmente estrecho para el grupo, con casi el 80% de los ataques dirigidos a organizaciones canadienses”, dijo el investigador de Sophos Morgan Demboski. “Gold Blade, que alguna vez se centró principalmente en el ciberespionaje, ha evolucionado sus operaciones hasta convertirse en una operación híbrida que combina el robo de datos con la implementación selectiva de ransomware a través de un casillero personalizado llamado QWCrypt”.
Otros destinos clave incluyen Estados Unidos, Australia y el Reino Unido, siendo los sectores de servicios, manufactura, comercio minorista, tecnología, organizaciones no gubernamentales y transporte los más afectados durante este período.
Se dice que el grupo opera según un modelo de “pirateo por contrato”, realizando intervenciones personalizadas en nombre de los clientes y al mismo tiempo implementando ransomware para monetizar las intervenciones. Aunque un informe del Grupo IB de 2020 planteó la posibilidad de que se tratara de un grupo de habla rusa, actualmente no hay pruebas que confirmen o refuten esta evaluación.
Sophos describió a RedCurl como una “operación profesional” y dijo que el actor de amenazas se diferencia de otros grupos cibercriminales en su capacidad para perfeccionar y desarrollar su oficio y llevar a cabo discretos ataques de extorsión. Sin embargo, no hay pruebas de que esté patrocinado por el Estado o motivado políticamente.
La empresa de ciberseguridad también señaló que el ritmo de las operaciones se caracterizaba por períodos de inactividad seguidos de picos repentinos de ataques con tácticas mejoradas, lo que sugiere que el grupo de hackers podría utilizar el tiempo de inactividad para actualizar su conjunto de herramientas.
STAC6565 comienza con correos electrónicos de phishing dirigidos a empleados de recursos humanos para engañarlos para que abran documentos maliciosos disfrazados de currículums o cartas de presentación. Desde al menos noviembre de 2024, la actividad ha estado utilizando plataformas legítimas de búsqueda de empleo como Indeed, JazzHR y ADP WorkforceNow para cargar currículums armados como parte de un proceso de solicitud.
“Debido a que las plataformas de reclutamiento permiten a los empleados de RRHH revisar todos los currículums entrantes, alojar cargas útiles en estas plataformas y entregarlas a través de dominios de correo electrónico disponibles no sólo aumenta la probabilidad de que los documentos se abran, sino que también evade la detección por parte de las protecciones basadas en correo electrónico”, explicó Demboski.
En un caso, se descubrió que un currículum falso subido a Indeed redirigía a los usuarios a una URL trampa, lo que finalmente condujo a la propagación del ransomware QWCrypt utilizando una cadena RedLoader. Se observaron al menos tres secuencias de entrega de RedLoader diferentes en septiembre de 2024, marzo/abril de 2025 y julio de 2025. Huntress, eSentire y Bitdefender han detallado previamente algunos aspectos de las cadenas de suministro.
El mayor cambio observado en julio de 2025 implica el uso de un archivo ZIP, que se elimina en el currículum falso. Hay un acceso directo de Windows (LNK) en el archivo que imita un archivo PDF. El archivo LNK utiliza rundll32.exe para recuperar una versión renombrada de ADNotificationManager.exe de un servidor WebDAV alojado detrás de un dominio de Cloudflare Workers.
Luego, el ataque inicia el ejecutable legítimo de Adobe para cargar la DLL RedLoader (llamada “srvcli.dll” o “netutils.dll”) desde la misma ruta WebDAV. Luego, la DLL se conecta a un servidor externo para descargar y ejecutar la carga útil de la segunda etapa, un binario independiente responsable de conectarse a otro servidor y recuperar el ejecutable independiente de la tercera etapa, así como un archivo DAT malicioso y un archivo 7-Zip renombrado.
Ambas fases dependen del Asistente de compatibilidad de programas de Microsoft (“pcalua.exe”) para la ejecución de la carga útil, un enfoque que también se utilizó en campañas anteriores. La única diferencia es que el formato de las cargas útiles cambió a EXE en lugar de DLL en abril de 2025.
“La carga útil analiza el archivo .dat malicioso y verifica la conexión a Internet. Luego se conecta a otro servidor C2 controlado por el atacante para crear y ejecutar un script .bat que automatiza la detección del sistema”, dijo Sophos. “El script descomprime Sysinternals AD Explorer y ejecuta comandos para recopilar detalles como información del host, discos, procesos y productos antivirus (AV) instalados”.
Los resultados de la ejecución se empaquetan en un archivo 7-Zip cifrado y protegido con contraseña y se transmiten a un servidor WebDAV controlado por el atacante. También se ha observado que RedCurl utiliza RPivot, un proxy inverso de código abierto, y Chisel SOCKS5 para la comunicación C2.
Otra herramienta utilizada en los ataques es una versión personalizada de la herramienta Terminator, que utiliza un controlador Zemana AntiMalware firmado para eliminar procesos relacionados con el antivirus mediante el ataque llamado Bring Your Own Vulnerable Driver (BYOVD). En al menos un caso ocurrido en abril de 2025, los actores de amenazas cambiaron el nombre de ambos componentes antes de distribuirlos a todos los servidores en el entorno de la víctima a través de recursos compartidos SMB.
Sophos también descubrió que la mayoría de estos ataques se detectaron y mitigaron antes de que se instalara QWCrypt. Sin embargo, tres de los ataques (uno en abril y dos en julio de 2025) resultaron en operaciones exitosas.
“En el incidente de abril, los actores de amenazas buscaron y recopilaron manualmente archivos confidenciales y luego pausaron la actividad durante más de cinco días antes de implementar el casillero”, continuó. “Este retraso podría indicar que los atacantes recurrieron al ransomware después de intentar monetizar los datos o de no poder conseguir un comprador”.
Los scripts de implementación de QWCrypt se adaptan al entorno de destino y, a menudo, incluyen una identificación específica de la víctima en los nombres de los archivos. Una vez iniciado, el script verifica si el servicio Terminator se está ejecutando antes de tomar medidas para deshabilitar la recuperación y ejecutar el ransomware en dispositivos finales de la red, incluidos los hipervisores de una organización.
En la fase final, el script ejecuta un script de limpieza por lotes para eliminar instantáneas existentes y todos los archivos del historial de la consola PowerShell para evitar la recuperación forense.
“El abuso de las plataformas de reclutamiento por parte de Gold Blade, los ciclos de calma y estallidos, y el continuo refinamiento de los métodos de entrega demuestran un nivel de madurez operativa que no suele asociarse con actores motivados financieramente”, dijo Sophos. “El grupo cuenta con un conjunto de herramientas de ataque completo y bien organizado, que incluye versiones modificadas de herramientas de código abierto y archivos binarios personalizados para permitir una cadena de suministro de malware de varios niveles”.
La revelación se produce cuando Huntress dijo que ha visto un enorme aumento en los ataques de ransomware a hipervisores, pasando del 3% en el primer semestre del año al 25% en lo que va del segundo semestre, impulsado en gran medida por el Grupo Akira.
“Los operadores de ransomware están implementando cargas útiles de ransomware directamente a través de hipervisores, evitando por completo las protecciones tradicionales de los endpoints. En algunos casos, los atacantes utilizan herramientas integradas como OpenSSL para realizar el cifrado de volúmenes de máquinas virtuales, eliminando la necesidad de cargar archivos binarios de ransomware personalizados”, escriben los investigadores Anna Pham, Ben Bernstein y Dray Agha.
“Este cambio pone de relieve una tendencia creciente y desagradable: los atacantes se dirigen a la infraestructura que controla todos los hosts y, al acceder al hipervisor, amplifican significativamente el impacto de su intrusión”.
Dado el mayor enfoque de los actores de amenazas en los hipervisores, se recomienda utilizar cuentas ESXi locales, aplicar la autenticación multifactor (MFA), implementar una política de contraseñas segura, separar la red de administración del hipervisor de las redes de producción y de usuarios generales, implementar un jumpbox para monitorear el acceso del administrador, restringir el acceso al plano de control y limitar el acceso a la interfaz de administración de ESXi a dispositivos de administración específicos.
About The Author
