GOLD BLADE: гибридные атаки с QWCrypt и ориентация на Канаду

Кратко: Группа, известная как GOLD BLADE (также RedCurl, RedWolf), сместила фокус с чистого кибершпионажа в сторону гибридной модели, совмещающей похищение конфиденциальных данных и выборочное внедрение программы-вымогателя QWCrypt. Аналитики Sophos зафиксировали почти 40 связанных инцидентов в период с февраля 2024 по август 2025 года; более 80% атак были нацелены на организации в Канаде.

Смещение стратегических целей и географическое таргетирование

По данным Sophos, между февралем 2024 и августом 2025 года исследователи отследили ~40 связанных вторжений, приписываемых GOLD BLADE. Примечательно, что более 80% атак были направлены на организации в Канаде — это указывает на осмысленную стратегию географического таргетирования, сопоставимую с изменением операционных целей группы.

«Аналитики Sophos отследили почти 40 связанных вторжений, приписываемых этой группе, в период с февраля 2024 по август 2025 года, причем более 80% этих атак были нацелены на организации в Канаде.»

Эволюция тактики: от hack-for-hire к монетизации через Ransomware

Исторически GOLD BLADE специализировалась на целенаправленных кражах конфиденциальной бизнес-информации, часто действуя в формате hack-for-hire. В таких операциях группа обычно не использовала сайты утечек данных (DLS). Появление программы-вымогателя QWCrypt позволяет предположить, что злоумышленники теперь дополнительно монетизируют свои вторжения.

Наблюдения 2025 года показывают тактическую эволюцию: внедрение Ransomware обычно следует этапам ручной разведки и выборочного сбора конфиденциальных файлов, после чего злоумышленники решают — разворачивать ли шифровальщик.

Метод цепочки заражения

GOLD BLADE использует многоэтапную цепочку заражения, часто ориентированную на HR-специалистов и платформы для подбора персонала:

  • Использование сторонних платформ по подбору персонала (Indeed, ADP WorkforceNow) для распространения «оружейных» резюме.
  • Spearphishing и «weaponized» резюме, содержащие zip-файл, — первичная точка входа.
  • Многоступенчатая доставка вредоносного ПО с последовательным разворачиванием компонентов.

Типичная цепочка заражения состоит из трёх этапов:

  1. Первоначальное выполнение: пользователь извлекает zip-файл, запускается вредоносный код и загружается динамически связанная библиотека (DLL).
  2. Установление связи с C2: вредоносный компонент подключается к серверу управления, создаётся запланированная задача, которая загружает дополнительную полезную нагрузку в каталог AppData пользователя.
  3. Полная установка: злоумышленник вручную оценивает доступные системы и выборочно развертывает основной набор вредоносного ПО (включая, при необходимости, Ransomware).

Инструменты и методы обхода защиты

Для туннелирования трафика во внутренней сети злоумышленники применяют RPivot — обратный прокси-сервер с открытым исходным кодом. Для установки туннелей использовались Python-скрипты с именами 'sra.py' или 'osr.py', при этом порты варьировались между инцидентами.

Чтобы уменьшить вероятность обнаружения, GOLD BLADE развернула собственные средства (отмечаемые как Terminator), использующие уязвимый драйвер продукта Zemana AntiMalware. Эта тактика позволяла отключать механизмы обнаружения конечных точек и решения EDR — сложный и целенаправленный подход к обходу мер безопасности.

Результаты и оперативные выводы

  • Хотя многие инциденты были перехвачены до фактического внедрения программ-вымогателей, успешные случаи с развертыванием Ransomware зафиксированы в апреле и июле 2025 года.
  • Переход на гибридную модель — кража данных + выборочное использование Ransomware — свидетельствует о том, что GOLD BLADE адаптирует методы в зависимости от оперативных успехов и реакции отрасли кибербезопасности.
  • Широкое использование легитимных кадровых платформ и многоэтапных цепочек доставки делает группу особенно опасной для организаций с недостаточной сегментацией и слабой фильтрацией входящих резюме и вложений.

Заключение

GOLD BLADE продемонстрировала способность динамично менять тактику: от узконаправленных операций по краже информации в формате hack-for-hire до гибридной, коммерчески ориентированной стратегии с включением Ransomware. Фокус на Канаде, использование легитимных HR-платформ для доставки вредоносных бинарников и применение уязвимых драйверов для подавления EDR подчёркивают необходимость усиления контроля входящих сообщений, проверки вложений и мониторинга нестандартного сетевого трафика внутри корпоративной сети.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: