El ataque de carga lateral remota de DLL GOLD BLADE despliega RedLoader

Los analistas de Sophos están investigando una nueva cadena de infección del malware personalizado RedLoader del grupo ciberdelincuente GOLD BLADE, que inicia comunicaciones de comando y control (C2). Los actores maliciosos aprovechan un archivo LNK para ejecutar y cargar de forma remota un ejecutable benigno, que carga la carga útil de la fase 1 de RedLoader alojada en la infraestructura de GOLD BLADE. Los actores maliciosos ya habían utilizado estas técnicas por separado: en septiembre de 2024 se observó el uso de WebDAV para ejecutar DLL alojadas de forma remota, y en marzo de 2025 se observó la carga lateral de un archivo ADNotificationManager.exe renombrado. Sin embargo, la combinación observada en julio de 2025 representa un método de ejecución inicial que no se ha dado a conocer públicamente.

Cadena de ejecución

La figura 1 ilustra la cadena de ejecución. El ataque comienza cuando un actor malintencionado envía una carta de presentación en PDF bien elaborada a un objetivo a través de un sitio web de empleo de terceros, como «indeed.com».

1. Un enlace malicioso en el PDF descarga un archivo ZIP en el sistema de la víctima. El archivo contiene un archivo LNK que se hace pasar por un PDF.

2. El archivo LNK ejecuta conhost.exe.

3. Este ejecutable utiliza WebDAV para ponerse en contacto con un dominio de CloudFlare (automatinghrservices[.] workers[.]dev). Una versión renombrada y firmada del ejecutable Adobe ADNotificationManager.exe se hace pasar por un currículum y se aloja de forma remota en el servidor controlado por el atacante (dav[.]automatinghrservices[.]workers[.]dev @ SSL\DavWWWRoot\CV-APP-2012-68907872.exe). Este archivo reside en el mismo directorio que el archivo DLL de la fase 1 de RedLoader (netutils.dll).

4. Al ejecutarse, el ejecutable benigno renombrado carga de forma remota el archivo DLL malicioso (netutils.dll), lo que marca el inicio de la cadena de infección de RedLoader.

5. La fase 1 de RedLoader crea una tarea programada denominada «BrowserQE\BrowserQE_<nombre del equipo codificado en Base64>» en el sistema de la víctima y descarga un ejecutable independiente para la fase 2 desde «live[.]airemoteplant[.]workers[.]dev». El uso de un ejecutable independiente se desvía de la actividad observada en septiembre de 2024 y se asemeja a la cadena de infección que Trend Micro informó en marzo de 2024.

6. La tarea programada utiliza PCALua.exe y conhost.exe para ejecutar la fase 2 de RedLoader, un ejecutable personalizado denominado «BrowserQE_<nombre del equipo codificado en Base64>.exe». Aunque el nombre de este ejecutable es específico de cada víctima, el hash SHA256 es el mismo en todas las muestras observadas por los analistas de Sophos.

7. RedLoader etapa 2 se comunica con su servidor C2.

Mitigaciones

La actividad de julio muestra cómo los actores maliciosos pueden combinar técnicas anteriores para modificar su cadena de ataque y eludir las defensas. GOLD BLADE sigue dependiendo en gran medida de archivos LNK que se hacen pasar por otros tipos de archivos. Las organizaciones pueden mitigar esta amenaza implementando un objeto de directiva de grupo de restricción de software que bloquee la ejecución de archivos LNK desde directorios comunes utilizados por el malware. Estos directorios incluyen «C:\Users\*\Downloads\*.lnk», «%AppDataLocal%\*.lnk» y «%AppDataRoaming%\*.lnk».

Las protecciones de Sophos que se enumeran en la tabla 1 se encargarán de esta actividad.

Tabla 1: contramedidas de Sophos que cubren esta amenaza.

Para mitigar la exposición a este malware, las organizaciones pueden utilizar los controles disponibles para revisar y restringir el acceso utilizando los indicadores que se enumeran en la tabla 2. Los dominios pueden contener contenido malicioso, por lo que debes tener en cuenta los riesgos antes de abrirlos en un navegador. Un archivo CSV que contiene los IoC mencionados en esta publicación está disponible en nuestro repositorio de Github.

Tabla 2: indicadores de esta amenaza.