Las organizaciones canadienses se han convertido en el foco de una campaña cibernética dirigida orquestada por un grupo de actividad de amenazas conocido como STAC6565.
La empresa de ciberseguridad Sophos dijo que investigó casi 40 intrusiones relacionadas con el actor de amenazas entre febrero de 2024 y agosto de 2025. La campaña se evalúa con alta confianza para compartir superposiciones con un grupo de piratas informáticos conocido como Gold Blade, al que también se le rastrea con los nombres Earth Kapre, RedCurl y Red Wolf.
Se cree que el actor de amenazas con motivación financiera está activo desde finales de 2018, inicialmente apuntando a entidades en Rusia, antes de expandir su enfoque a entidades en Canadá, Alemania, Noruega, Rusia, Eslovenia, Ucrania, el Reino Unido y los EE. UU. El grupo tiene un historial de uso de correos electrónicos de phishing para realizar espionaje comercial.
Sin embargo, las recientes oleadas de ataques han descubierto que RedCurl ha participado en ataques de ransomware utilizando una cepa de malware personalizada denominada QWCrypt. Una de las herramientas notables en el arsenal del actor de amenazas es RedLoader, que envía información sobre el host infectado a un servidor de comando y control (C2) y ejecuta scripts de PowerShell para recopilar detalles relacionados con el entorno de Active Directory (AD) comprometido.
«Esta campaña refleja un enfoque geográfico inusualmente estrecho para el grupo, con casi el 80% de los ataques dirigidos a organizaciones canadienses», dijo el investigador de Sophos Morgan Demboski. «Una vez centrado principalmente en el ciberespionaje, Gold Blade ha evolucionado su actividad hasta convertirse en una operación híbrida que combina el robo de datos con la implementación selectiva de ransomware a través de un casillero personalizado llamado QWCrypt».
Otros objetivos destacados incluyen Estados Unidos, Australia y el Reino Unido, siendo los sectores de servicios, manufactura, comercio minorista, tecnología, organizaciones no gubernamentales y transporte los más afectados durante el período.
Se dice que el grupo opera bajo un modelo de «pirateo por contrato», llevando a cabo intrusiones personalizadas en nombre de los clientes, mientras implementa ransomware de forma paralela para monetizar las intrusiones. Aunque un informe de 2020 del Group-IB planteaba la posibilidad de que se tratara de un grupo de habla rusa, actualmente no hay indicios que confirmen o desmientan esta evaluación.
Al describir a RedCurl como una «operación profesionalizada», Sophos dijo que el actor de amenazas se distingue de otros grupos cibercriminales debido a su capacidad para refinar y evolucionar su oficio, así como para montar ataques de extorsión discretos. Dicho esto, no hay evidencia que sugiera que esté patrocinado por el estado o motivado políticamente.
La empresa de ciberseguridad también señaló que el ritmo operativo está marcado por períodos de inactividad, seguidos de picos repentinos de ataques que utilizan tácticas mejoradas, lo que indica que el grupo de hackers podría estar aprovechando el tiempo de inactividad para actualizar su conjunto de herramientas.
STAC6565 comienza con correos electrónicos de phishing dirigidos al personal de recursos humanos (RRHH) para engañarlos para que abran documentos maliciosos disfrazados de currículums o cartas de presentación. Desde al menos noviembre de 2024, la actividad ha aprovechado plataformas legítimas de búsqueda de empleo como Indeed, JazzHR y ADP WorkforceNow para cargar currículums armados como parte de un proceso de solicitud de empleo.
«Dado que las plataformas de contratación permiten al personal de recursos humanos revisar todos los currículums entrantes, alojar cargas útiles en estas plataformas y entregarlas a través de dominios de correo electrónico desechables no sólo aumenta la probabilidad de que los documentos se abran sino que también evade la detección por parte de las protecciones basadas en correo electrónico», explicó Demboski.
En un incidente, se descubrió que un currículum falso subido a Indeed redireccionaba a los usuarios a una URL trampa que finalmente condujo a la implementación del ransomware QWCrypt mediante una cadena RedLoader. Se observaron al menos tres secuencias de entrega de RedLoader diferentes en septiembre de 2024, marzo/abril de 2025 y julio de 2025. Huntress, eSentire y Bitdefender detallaron previamente algunos aspectos de las cadenas de entrega.
El cambio principal observado en julio de 2025 se refiere al uso de un archivo ZIP que se elimina en el currículum falso. Dentro del archivo hay un acceso directo de Windows (LNK) que se hace pasar por un PDF. El archivo LNK utiliza «rundll32.exe» para obtener una versión renombrada de «ADNotificationManager.exe» de un servidor WebDAV alojado detrás de un dominio de Cloudflare Workers.
Luego, el ataque lanza el ejecutable legítimo de Adobe para descargar la DLL RedLoader (llamada «srvcli.dll» o «netutils.dll») desde la misma ruta WebDAV. La DLL procede a conectarse a un servidor externo para descargar y ejecutar la carga útil de la segunda etapa, un binario independiente que es responsable de conectarse a un servidor diferente y recuperar el ejecutable independiente de la tercera etapa junto con un archivo DAT malicioso y un archivo 7-Zip renombrado.
Ambas etapas dependen del Asistente de compatibilidad de programas de Microsoft («pcalua.exe») para la ejecución de la carga útil, un enfoque visto también en campañas anteriores. La única diferencia es que el formato de las cargas útiles pasó en abril de 2025 a EXE en lugar de DLL.
«La carga útil analiza el archivo .dat malicioso y verifica la conectividad a Internet. Luego se conecta a otro servidor C2 controlado por un atacante para crear y ejecutar un script .bat que automatiza el descubrimiento del sistema», dijo Sophos. «El script descomprime Sysinternals AD Explorer y ejecuta comandos para recopilar detalles como información del host, discos, procesos y productos antivirus (AV) instalados».
Los resultados de la ejecución se empaquetan en un archivo 7-Zip cifrado y protegido con contraseña y se transfieren a un servidor WebDAV controlado por el atacante. También se ha observado que RedCurl utiliza RPivot, un proxy inverso de código abierto, y Chisel SOCKS5 para comunicaciones C2.
Otra herramienta utilizada en los ataques es una versión personalizada de la herramienta Terminator que aprovecha un controlador Zemana AntiMalware firmado para eliminar procesos relacionados con el antivirus mediante lo que se llama un ataque Bring Your Own Vulnerable Driver (BYOVD). En al menos un caso ocurrido en abril de 2025, los actores de amenazas cambiaron el nombre de ambos componentes antes de distribuirlos a través de recursos compartidos SMB a todos los servidores en el entorno de la víctima.
Sophos también señaló que la mayoría de estos ataques fueron detectados y mitigados antes de la instalación de QWCrypt. Sin embargo, tres de los ataques (uno en abril y dos en julio de 2025) culminaron en un despliegue exitoso.
«En el incidente de abril, los actores de amenazas buscaron y recopilaron manualmente archivos confidenciales, luego pausaron la actividad durante más de cinco días antes de implementar el casillero», agregó. «Este retraso puede sugerir que los atacantes recurrieron al ransomware después de intentar monetizar los datos o de no poder conseguir un comprador».
Los scripts de implementación de QWCrypt se adaptan al entorno de destino y a menudo contienen una identificación específica de la víctima en los nombres de los archivos. El script, una vez iniciado, verifica si el servicio Terminator se está ejecutando antes de tomar medidas para deshabilitar la recuperación y ejecutar el ransomware en los dispositivos finales de la red, incluidos los hipervisores de la organización.
En la última etapa, el script ejecuta un script de limpieza por lotes para eliminar instantáneas existentes y todos los archivos del historial de la consola PowerShell para inhibir la recuperación forense.
«El abuso de las plataformas de reclutamiento por parte de Gold Blade, los ciclos de inactividad y explosiones, y el refinamiento continuo de los métodos de entrega demuestran un nivel de madurez operativa que no suele asociarse con actores motivados financieramente», dijo Sophos. «El grupo mantiene un conjunto de herramientas de ataque completo y bien organizado, que incluye versiones modificadas de herramientas de código abierto y archivos binarios personalizados para facilitar una cadena de entrega de malware de varias etapas».
La divulgación se produce cuando Huntress dijo que ha notado un gran aumento en los ataques de ransomware a hipervisores, pasando del 3% en la primera mitad del año al 25% en lo que va de la segunda mitad, impulsado principalmente por el grupo Akira.
«Los operadores de ransomware implementan cargas útiles de ransomware directamente a través de hipervisores, evitando por completo las protecciones tradicionales de los terminales. En algunos casos, los atacantes aprovechan herramientas integradas como OpenSSL para realizar el cifrado de los volúmenes de la máquina virtual, evitando la necesidad de cargar archivos binarios de ransomware personalizados», escribieron los investigadores Anna Pham, Ben Bernstein y Dray Agha.
«Este cambio subraya una tendencia creciente e incómoda: los atacantes están apuntando a la infraestructura que controla todos los hosts y, con acceso al hipervisor, los adversarios amplifican dramáticamente el impacto de su intrusión».
Dado el mayor enfoque de los actores de amenazas en los hipervisores, se recomienda utilizar cuentas ESXi locales, aplicar la autenticación multifactor (MFA), implementar una política de contraseñas segura, segregar la red de administración del hipervisor de las redes de producción y de usuarios generales, implementar un jump box para auditar el acceso de los administradores, limitar el acceso al plano de control y restringir el acceso a la interfaz de administración de ESXi a dispositivos administrativos específicos.
