Organizações canadenses tornaram-se o principal alvo de uma campanha cibernética direcionada conduzida por um grupo de ameaça identificado como STAC6565.
A empresa de cibersegurança Sophos investigou cerca de 40 invasões associadas a esse ator entre fevereiro de 2024 e agosto de 2025.
A campanha apresenta fortes indícios de ligação com o grupo hacker conhecido como Gold Blade, também monitorado sob os nomes Earth Kapre, RedCurl e Red Wolf.
Ativo desde o final de 2018, esse ator financeiramente motivado iniciou suas operações focando alvos na Rússia, antes de expandir para Canadá, Alemanha, Noruega, Eslovênia, Ucrânia, Reino Unido e Estados Unidos.
Sua principal tática tem sido o uso de phishing para espionagem comercial.
Mais recentemente, o grupo RedCurl passou a realizar ataques de ransomware com um malware customizado chamado QWCrypt.
Uma das ferramentas-chave em seu arsenal é o RedLoader, que envia informações do computador infectado para um servidor de comando e controle (C2) e executa scripts em PowerShell para coletar dados do ambiente Active Directory comprometido.
“Muito incomum, 80% dos ataques dessa campanha têm como alvo organizações canadenses”, comentou Morgan Demboski, pesquisador da Sophos.
Ele explica que o Gold Blade, antes focado em espionagem, evoluiu para um modelo híbrido que combina roubo de dados com ataques seletivos de ransomware usando o locker QWCrypt.
Além do Canadá, Estados Unidos, Austrália e Reino Unido também foram alvos frequentes, com setores como serviços, manufatura, varejo, tecnologia, ONGs e transporte sendo os mais afetados.
O grupo opera sob um modelo de “hack-for-hire”, realizando invasões sob encomenda e, paralelamente, implantando ransomware para monetizar suas ações.
Um relatório de 2020 do Group-IB sugeriu que o grupo seria de língua russa, mas não há confirmação definitiva sobre sua origem.
A Sophos classifica o RedCurl como uma operação profissional, destacando sua capacidade de aprimorar continuamente suas táticas e realizar ataques de extorsão de forma discreta.
Não há evidências que indiquem envolvimento estatal ou motivação política.
O ritmo das operações varia, com períodos de inatividade seguidos por explosões súbitas de ataques, utilizando técnicas aprimoradas, o que sugere que aproveitam esses intervalos para atualizar seu conjunto de ferramentas.
A campanha começa com spear-phishing direcionado ao setor de recursos humanos, enviando currículos e cartas de apresentação maliciosos para induzir a abertura.
Desde novembro de 2024, o grupo passou a usar plataformas legítimas de busca de emprego, como Indeed, JazzHR e ADP WorkforceNow, para distribuir esses documentos maliciosos como parte dos processos seletivos.
“Como recrutadores revisam todos os currículos nessas plataformas, hospedar malwares nelas e utilizar domínios de e-mails descartáveis aumentam a chance de abertura e dificultam a detecção pelas proteções de e-mail”, explicou Demboski.
Em um caso, um falso currículo no Indeed redirecionava para uma URL maliciosa, que executava o ransomware QWCrypt via a cadeia de entrega RedLoader.
Foram observadas três sequências distintas de entrega do RedLoader em setembro de 2024, março/abril de 2025 e julho de 2025, com detalhes previamente compartilhados por Huntress, eSentire e Bitdefender.
A principal alteração em julho de 2025 envolveu um arquivo ZIP contendo um atalho do Windows (LNK) mascarado de PDF.
Esse arquivo usava o “rundll32.exe” para baixar uma versão renomeada do “ADNotificationManager.exe” de um servidor WebDAV hospedado em um domínio Cloudflare Workers.
Em seguida, o ataque executava o Adobe legítimo para carregar dinamicamente a DLL maliciosa RedLoader (nomeada “srvcli.dll” ou “netutils.dll”), proveniente do mesmo servidor WebDAV.
Essa DLL baixava e executava um payload de segunda fase — um binário responsável por se conectar a outro servidor para obter um payload de terceira fase, além de arquivos DAT maliciosos e um arquivo 7-Zip renomeado.
Ambas as fases utilizam o “Program Compatibility Assistant” da Microsoft (“pcalua.exe”) para executar os payloads, uma técnica já observada em campanhas anteriores.
A diferença é que, a partir de abril de 2025, os payloads passaram a ser EXEs em vez de DLLs.
“O payload lê o arquivo .dat malicioso e verifica a conexão com a internet.
Depois, conecta-se a um servidor C2 para criar e executar um script .bat que automatiza a descoberta do sistema”, detalhou a Sophos.
O script utiliza o Sysinternals AD Explorer para coletar informações sobre o host, discos, processos e antivírus instalados.
Os dados coletados são empacotados em arquivo 7-Zip criptografado com senha e enviados a um servidor WebDAV controlado pelo atacante.
O grupo também é conhecido por usar o RPivot, um proxy reverso open-source, e o Chisel SOCKS5 para manter a comunicação com o C2.
Outra ferramenta importante é uma versão personalizada do Terminator que utiliza um driver assinado da Zemana AntiMalware para eliminar processos antivírus por meio de um ataque chamado Bring Your Own Vulnerable Driver (BYOVD).
Em abril de 2025, os atores renomearam esses componentes e os distribuíram via compartilhamentos SMB para todos os servidores da vítima.
A Sophos destacou que a maioria dos ataques foi detectada e bloqueada antes da instalação do ransomware QWCrypt.
No entanto, três ataques — um em abril e dois em julho de 2025 — resultaram em implantações bem-sucedidas.
“No incidente de abril, os atacantes navegaram manualmente pelas redes, coletaram arquivos sensíveis e só dias depois acionaram o ransomware.
Isso pode indicar que tentaram monetizar os dados ou não conseguiram vendê-los antes de usar o locker”, acrescentou a empresa.
Os scripts de implantação do QWCrypt são personalizados para cada vítima, com IDs específicas nos nomes dos arquivos.
Eles verificam se o serviço Terminator está ativo, desabilitam mecanismos de recuperação e executam o ransomware nos dispositivos da rede, inclusive nos hypervisors da organização.
Na última etapa, um script apaga cópias de sombra e histórico do PowerShell para dificultar investigações forenses.
“Os abusos do Gold Blade em plataformas de recrutamento, seus ciclos de atividade e aprimoramentos constantes demonstram maturidade operacional incomum entre grupos financeiramente motivados”, concluiu a Sophos.
O grupo mantém um arsenal organizado, com versões modificadas de ferramentas open-source e binários customizados, sustentando uma cadeia complexa de entrega do malware.
Essa revelação coincide com a observação da Huntress, que notou um aumento significativo nos ataques de ransomware a hypervisors — de 3% na primeira metade do ano para 25% na segunda metade — impulsionados principalmente pelo grupo Akira.
“Operadores de ransomware passaram a implantar seus malwares diretamente em hypervisors, ignorando completamente a proteção tradicional dos endpoints.
Em alguns casos, utilizam ferramentas nativas como o OpenSSL para criptografar volumes das máquinas virtuais, eliminando a necessidade de enviar binários personalizados”, explicam os pesquisadores Anna Pham, Ben Bernstein e Dray Agha.
Esse movimento evidencia uma tendência preocupante: os atacantes miram a infraestrutura que controla todos os hosts e, ao assumir o controle do hypervisor, ampliam significativamente o impacto da invasão.
Diante dessa realidade, especialistas recomendam aplicar contas locais nos hosts ESXi, adotar autenticação multifator (MFA), implementar políticas rigorosas de senha, segmentar a rede de gerenciamento dos hypervisors das redes de produção e de usuários, usar jump boxes para monitorar acessos administrativos, limitar o acesso ao plano de controle e restringir a interface de gerenciamento ESXi a dispositivos específicos.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...