Introduction: A sophisticated threat actor, tracked as STAC6565 (aka Gold Blade or RedCurl), has strategically pivoted 80% of its offensive operations to target Canadian small and medium-sized businesses (SMBs). Employing a deviously simple spear-phishing campaign that weaponizes fake resumes on popular job platforms, this group infiltrates networks to deploy ransomware and exfiltrate sensitive data, often by directly compromising hypervisors. This shift underscores a critical vulnerability: SMBs, particularly in retail, manufacturing, and tech sectors, often lack the layered security and visibility to detect such advanced, patient attacks before critical systems are held hostage.

カナダの組織が、STAC6565として知られる脅威アクティビティクラスターによって仕組まれた標的型サイバーキャンペーンの焦点として浮上している。 サイバーセキュリティ企業のSophosは、2024年2月から2025年8月の間に、この脅威アクターに関連する約40件の侵害を調査したと述べている。このキャンペーンは、Earth Kapre、RedCurl、Red Wolfとしても知られるGold Bladeと呼ばれるハッキンググループとの重複が高い確度で評価されている。 金銭目的のこの脅威アクターは、当初はロシア国内の組織を標的としていたが、その後カナダ、ドイツ、ノルウェー、ロシア、スロベニア、ウクライナ、英国、米国の組織へと標的を拡大し、2018年末から活動しているとみられている。同グループは、フィッシングメールを用いて商業スパイ活動を行ってきた経緯がある。 しかし、最近の攻撃の波では、RedCurlがQWCryptと名付けられた特注のマルウェア系統を用いたランサムウェア攻撃に関与していることが判明している。脅威アクターの武器庫の中でも注目すべきツールの1つがRedLoaderであり、感染したホストに関する情報をコマンド＆コントロール（C2）サーバーに送信し、PowerShellスクリプトを実行して、侵害されたActive Directory（AD）環境に関連する詳細を収集する。 「このキャンペーンは、グループとしては異例なほど地理的な焦点が狭く、攻撃のほぼ80％がカナダの組織を標的にしています」とSophosの研究者Morgan Demboskiは述べている。「かつては主にサイバースパイ活動に注力していたGold Bladeは、データ窃取と、QWCryptというカスタムロッカーを介した選択的なランサムウェア展開を組み合わせたハイブリッドな活動へと進化しています。」 その他の主要な標的には米国、オーストラリア、英国が含まれ、サービス、製造、小売、テクノロジー、非政府組織、輸送といったセクターが、この期間中に最も大きな打撃を受けている。 同グループは「ハクティビスト代行（hack-for-hire）」モデルで活動しているとされ、顧客のために個別にカスタマイズされた侵入を実行する一方で、その過程でランサムウェアを展開して侵入を収益化している。Group-IBの2020年のレポートでは、ロシア語話者のグループである可能性が指摘されたものの、現時点ではこの評価を裏付ける、あるいは否定する決定的な証拠はない。 SophosはRedCurlを「プロフェッショナルに組織化されたオペレーション」と表現し、同脅威アクターは、自らの手口を洗練・進化させる能力や、目立たない形で恐喝攻撃を仕掛ける能力により、他のサイバー犯罪グループとは一線を画していると述べた。ただし、国家の支援を受けている、あるいは政治的動機を持っていることを示す証拠はないという。 また同社は、作戦のテンポが、活動が見られない期間と、戦術を改善した攻撃が突然急増する期間とで特徴づけられると指摘している。これは、ハッキンググループが活動休止期間を利用してツールセットを刷新している可能性を示唆している。 STAC6565は、人事（HR）担当者を標的としたスピアフィッシングメールから攻撃を開始し、履歴書やカバーレターを装った悪意ある文書を開かせるよう誘導する。少なくとも2024年11月以降、この活動はIndeed、JazzHR、ADP WorkforceNowといった正規の求人検索プラットフォームを悪用し、武器化された履歴書を求人応募プロセスの一環としてアップロードしている。 「採用プラットフォームはHRスタッフがすべての応募履歴書を閲覧できるようにしているため、これらのプラットフォーム上にペイロードをホスティングし、使い捨てのメールドメインを通じて配信することで、文書が開かれる可能性を高めるだけでなく、メールベースの防御による検知も回避できます」とDemboskiは説明した。 あるインシデントでは、Indeedにアップロードされた偽の履歴書が、最終的にRedLoaderチェーンを介したQWCryptランサムウェアの展開につながる細工済みURLへとユーザーをリダイレクトしていたことが判明している。少なくとも3種類のRedLoader配信シーケンスが、2024年9月、2025年3月／4月、2025年7月に観測されている。配信チェーンの一部については、Huntress、eSentire、Bitdefenderが以前に詳細を明らかにしている。 2025年7月に観測された大きな変化は、偽の履歴書によってドロップされるZIPアーカイブの使用に関するものだ。アーカイブ内にはPDFを装ったWindowsショートカット（LNK）が含まれている。このLNKファイルは「rundll32.exe」を用いて、Cloudflare Workersドメインの背後にホストされたWebDAVサーバーから、名前を変更した「ADNotificationManager.exe」を取得する。 その後、攻撃は正規のAdobe実行ファイルを起動し、同じWebDAVパスからRedLoader DLL（「srvcli.dll」または「netutils.dll」という名前）をサイドロードする。このDLLは外部サーバーに接続して第2段階のペイロードをダウンロードおよび実行する。第2段階のペイロードはスタンドアロンのバイナリで、別のサーバーに接続し、第3段階のスタンドアロン実行ファイルに加え、悪意あるDATファイルと名前を変更した7-Zipファイルを取得する役割を担う。 両段階とも、ペイロードの実行にはMicrosoftのプログラム互換性アシスタント（「pcalua.exe」）に依存しており、この手法は過去のキャンペーンでも確認されている。唯一の違いは、ペイロードの形式が2025年4月にDLLからEXEへと移行した点だ。 「ペイロードは悪意ある.datファイルを解析し、インターネット接続を確認します。その後、攻撃者が管理する別のC2サーバーに接続し、システム探索を自動化する.batスクリプトを作成・実行します」とSophosは述べている。「このスクリプトはSysinternals AD Explorerを展開し、ホスト情報、ディスク、プロセス、インストールされているアンチウイルス（AV）製品などの詳細を収集するコマンドを実行します。」 実行結果は暗号化され、パスワード保護された7-Zipアーカイブにまとめられ、攻撃者が管理するWebDAVサーバーに転送される。RedCurlはまた、オープンソースのリバースプロキシであるRPivotや、C2通信のためのChisel SOCKS5を使用していることも観測されている。 攻撃で使用される別のツールとしては、署名付きZemana AntiMalwareドライバーを悪用し、いわゆる「脆弱なドライバー持ち込み攻撃（BYOVD）」によってアンチウイルス関連プロセスを強制終了する、カスタマイズされたTerminatorツールがある。少なくとも2025年4月の1件では、脅威アクターは両コンポーネントの名前を変更した上で、被害組織のすべてのサーバーにSMB共有を通じて配布していた。 Sophosはまた、これらの攻撃の大半はQWCryptがインストールされる前に検知・阻止されたと指摘している。しかし、2025年4月に1件、同年7月に2件の計3件では、ランサムウェアの展開が成功に至った。 「4月のインシデントでは、脅威アクターは手動で機密ファイルを閲覧・収集した後、ロッカーを展開するまで5日以上活動を停止しました」と同社は付け加えた。「この遅延は、攻撃者がデータのマネタイズを試みたものの失敗し、その後ランサムウェアに切り替えた可能性を示唆しています。」 QWCryptの展開スクリプトは標的環境に合わせてカスタマイズされており、多くの場合、ファイル名に被害者固有のIDが含まれている。スクリプトが起動すると、まずTerminatorサービスが実行中かどうかを確認し、その後、復旧機能を無効化し、組織のハイパーバイザーを含むネットワーク全体のエンドポイントデバイス上でランサムウェアを実行する手順を踏む。 最終段階では、スクリプトはクリーンアップ用のバッチスクリプトを実行し、既存のシャドウコピーとすべてのPowerShellコンソール履歴ファイルを削除して、フォレンジックによる復旧を妨げる。 「Gold Bladeが採用プラットフォームを悪用していること、活動休止と急増を繰り返すサイクル、配信手法の継続的な洗練は、金銭目的のアクターとしては通常見られないレベルの運用成熟度を示しています」とSophosは述べている。「同グループは、オープンソースツールを改変したものやカスタムバイナリを含む、包括的でよく組織化された攻撃ツールキットを維持しており、多段階のマルウェア配信チェーンを可能にしています。」 この開示は、Huntressがハイパーバイザーに対するランサムウェア攻撃が急増していることを確認したタイミングで行われたものであり、その割合は年初の半年間の3％から、後半ではこれまでのところ25％へと跳ね上がっており、その主な要因はAkiraグループだという。 「ランサムウェアオペレーターは、ハイパーバイザーを通じて直接ランサムウェアペイロードを展開し、従来型のエンドポイント保護を完全に迂回します。場合によっては、攻撃者はOpenSSLなどの組み込みツールを利用して仮想マシンボリュームを暗号化し、カスタムランサムウェアバイナリをアップロードする必要すら回避します」と研究者のAnna Pham、Ben Bernstein、Dray Aghaは記している。 「この変化は、不快なほどに高まりつつあるトレンドを浮き彫りにしています。すなわち、攻撃者はすべてのホストを制御するインフラを標的としており、ハイパーバイザーへのアクセスを得ることで、侵入の影響を劇的に増幅させているのです。」 脅威アクターによるハイパーバイザーへの注目が高まっていることを踏まえ、ローカルのESXiアカウントを使用すること、多要素認証（MFA）を強制すること、強力なパスワードポリシーを実装すること、ハイパーバイザーの管理ネットワークを本番環境および一般ユーザーネットワークから分離すること、管理者アクセスを監査するためのジャンプボックスを展開すること、コントロールプレーンへのアクセスを制限すること、そしてESXi管理インターフェースへのアクセスを特定の管理用デバイスに限定することが推奨される。 翻訳元:

Cybersecurity researchers at Sophos are closely tracking a sophisticated new infection chain developed by the financially motivated cybercriminal group known as GOLD BLADE, also referred to in the threat landscape as RedCurl, Red Wolf, and Earth Kapre. GOLD BLADE has a known history of orchestrating commercial espionage campaigns since at least 2018.

With businesses increasingly adopting virtualized infrastructure, ransomware groups are adapting by designing encryptors for these environments.

A threat actor named 'RedCurl,' known for stealthy corporate espionage operations since 2018, is now using a ransomware encryptor designed to target Hyper-V virtual machines.

Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread

  RedCurl, a cyber threat group active since 2018 and known for stealthy corporate espionage, has now shifted its approach by deploying ransomware targeting Hyper-V virtual machines. Initially identified by Group-IB, RedCurl primarily targeted corporate organizations globally, later expanding its reach. However, as reported by Bitdefender Labs, the group has now incorporated ransomware into its operations. "We've seen RedCurl stick to their usual playbook in most cases, continuing with data exfiltration over longer periods of time," states the Bitdefender report. "However, one case stood out. They broke their routine and deployed ransomware for the first time." With businesses increasingly adopting virtualized infrastructure, ransomware groups are adapting by designing encryptors for these environments. While most ransomware variants target VMware ESXi servers, RedCurl’s latest tool, QWCrypt, focuses specifically on Hyper-V. Bitdefender’s analysis reveals that RedCurl initiates attacks through phishing emails containing .IMG attachments disguised as CVs. When opened, these disk image files auto-mount in Windows, executing a malicious screensaver file. This technique exploits DLL sideloading via a legitimate Adobe executable, enabling persistence through scheduled tasks. To avoid detection, RedCurl employs living-off-the-land (LOTL) techniques, leveraging native Windows utilities. A custom wmiexec variant facilitates lateral movement across networks without triggering security tools, while Chisel provides tunneling and remote desktop access. Before deploying ransomware, the attackers disable security measures using encrypted 7z archives and a multi-stage PowerShell script. Unlike standard Windows ransomware, QWCrypt supports multiple command-line arguments, allowing attackers to fine-tune encryption strategies. In observed attacks, RedCurl used the --excludeVM argument to avoid encrypting network gateway virtual machines, ensuring continued access. The XChaCha20-Poly1305 encryption algorithm is employed to lock files, appending .locked$ or .randombits$ extensions. Additionally, QWCrypt offers intermittent encryption (block skipping) and selective file encryption based on size, optimizing speed. The ransom note, named "!!!how_to_unlock_randombits_files.txt$", incorporates text fragments from multiple ransomware groups, including LockBit, HardBit, and Mimic. Unlike most ransomware gangs, RedCurl does not operate a dedicated leak site, raising speculation about its true intentions. Experts propose two theories: The ransomware may serve as a cover for data theft, creating a distraction while RedCurl exfiltrates sensitive corporate information. It could also act as a backup monetization method when clients fail to pay for stolen data. Another possibility is that RedCurl may conduct covert negotiations with victims, focusing on financial gain without public exposure. "The RedCurl group's recent deployment of ransomware marks a significant evolution in their tactics," Bitdefender concludes. "This departure from their established modus op

A threat actor named 'RedCurl,' known for stealthy corporate espionage operations since 2018, is now using a ransomware encryptor designed to target Hyper-V virtual machines.

A threat actor named 'RedCurl,' known for stealthy corporate espionage operations since 2018, is now using a ransomware encryptor designed to target Hyper-V virtual machines.

Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread

Mozilla patched a Firefox vulnerability mirroring one actively exploited in Chrome against Russian targets. The RedCurl gang has deployed ransomware for the first time in their operations. Ukraine's railway operator has successfully recovered from a significant cyberattack affecting their online ticket sales. India is cracking down on Google’s billing practices, deeming them anti-competitive. The Morphing Meerkat phishing kit abuses DNS mail exchange records to spoof over 100 brands. A new malware campaign distributed through fake DeepSeek ads on Google has been identified. The GorillaBot malware has launched over 300,000 attacks targeting Windows devices across numerous countries. Chris Wysopal from Veracode discusses the increasing average fix time for security flaws and organizations carrying critical security debt. Liz Stokes shares a fun fact related to cybersecurity. The CyberWire encourages listeners to provide feedback and explore advertising opportunities.

This research, conducted by Bitdefender Labs, presents the first documented analysis of a ransomware campaign attributed to the RedCurl group (also known as Earth Kapre or Red Wolf).

El grupo de ciberespionaje RedCurl, activo desde 2018, ha comenzado a utilizar un ransomware llamado QWCrypt para atacar máquinas virtuales Hyper-V en redes

Discover the novel QWCrypt ransomware used by RedCurl in targeted hypervisor attacks. This article details their tactics, including…

The hacker group RedCurl, known for corporate espionage, has started using the QWCrypt ransomware to attack Hyper-V virtual machines. This new strategy represents an evolution in RedCurl's tactics, which previously focused on discreet surveillance operations. The use of QWCrypt allows the group to specifically target virtualized environments, thereby increasing their ability to disrupt business operations.

Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread

RedCurl, a Russian-speaking threat actor, is now using QWCrypt ransomware to target hypervisors, a strategic shift from their typical corporate espionage. Bitdefender speculates RedCurl might be a 'gun-for-hire', using ransomware as a diversion or a backup plan when contracts aren't paid. Their revenue model and true motives remain mysterious.

RedCurl vient de signer une attaque qui détonne. Longtemps associé au cyberespionnage, le groupe bascule dans le chiffrement ciblé avec une opération qui vise directement les hyperviseurs. Pas de chaos, pas de revendication publique, mais un ransomware qui laisse planer le doute sur ses véritables intentions.