Ricerche sulle CyberMinacce

GOLD BLADE distribuisce RedLoader tramite attacco di sideloading DLL da remoto

Gli attacchi sono aumentati a luglio 2025 dopo che il gruppo criminale ha aggiornato la propria procedura combinando file LNK dannosi e una tecnica WebDAV riutilizzata
Scritto da
Threat Research .lnk cybercrime DLL sideloading featured GOLD BLADE RedLoader Sophos X-Ops webdav

Gli analisti di Sophos stanno indagando su una nuova catena di infezione utilizzata dal gruppo cybercriminale GOLD BLADE per il malware personalizzato RedLoader, che avvia comunicazioni di comando e controllo (C2).
Gli autori delle minacce sfruttano un file LNK per eseguire da remoto e caricare lateralmente un eseguibile benigno, che a sua volta carica il payload RedLoader di fase 1, ospitato su infrastruttura controllata da GOLD BLADE. I criminali avevano già usato in passato queste tecniche singolarmente: l’uso di WebDAV per eseguire DLL ospitate da remoto era stato osservato nel settembre 2024, mentre il sideloading di un file ADNotificationManager.exe rinominato era stato osservato nel marzo 2025. Tuttavia, la combinazione rilevata nel luglio 2025 rappresenta un metodo di esecuzione iniziale mai riportato pubblicamente prima.

Catena di esecuzione

La Figura 1 illustra la catena di esecuzione. L’attacco inizia con l’invio, da parte dell’autore della minaccia, di una falsa lettera di presentazione in formato PDF a una vittima tramite un sito per la ricerca di lavoro di terze parti, come ad esempio indeed.com.

Chart showing the RedLoader execution chain that uses remote DLL sideloading via an attacker-controlled WebDAV server

Figura 1: La catena di esecuzione di RedLoader osservata

  1. Un link malevolo all’interno del PDF scarica un archivio ZIP sul sistema della vittima. L’archivio contiene un file LNK camuffato da PDF.
  2. Il file LNK esegue conhost.exe.
  3. Questo eseguibile utilizza WebDAV per contattare un dominio CloudFlare (automatinghrservices[.]workers[.]dev). Una versione firmata e rinominata dell’eseguibile Adobe ADNotificationManager.exe, mascherata da curriculum, è ospitata da remoto sul server controllato dall’attaccante (dav[.]automatinghrservices[.]workers[.]dev @ SSL\DavWWWRoot\CV-APP-2012-68907872.exe). Questo file si trova nella stessa directory del file DLL di fase 1 di RedLoader (netutils.dll).
  4. Al momento dell’esecuzione, l’eseguibile benigno rinominato carica lateralmente (sideloads) la DLL malevola netutils.dll, segnando l’inizio della catena di infezione RedLoader.
  5. RedLoader fase 1 crea un’attività pianificata chiamata BrowserQE\BrowserQE_<nome del computer codificato in Base64> sul sistema della vittima e scarica un eseguibile autonomo per la fase 2 da live[.]airemoteplant[.]workers[.]dev. L’uso di un eseguibile autonomo rappresenta una variazione rispetto all’attività osservata nel settembre 2024 e somiglia alla catena di infezione riportata da Trend Micro nel marzo 2024.
  6. L’attività pianificata utilizza PCALua.exe e conhost.exe per eseguire RedLoader fase 2, un eseguibile personalizzato denominato BrowserQE_<nome del computer in Base64>.exe. Sebbene questo nome vari per ogni vittima, l’hash SHA256 è coerente tra tutti i campioni analizzati dagli analisti Sophos.
  7. RedLoader fase 2 comunica con il proprio server di comando e controllo (C2).

Leggi tutto l’articolo.

Mark Parsons
L’autore

Mark Parsons is a threat hunter for Sophos Managed Detection and Response. He specializes in threat hunting, digital forensics, and incident response. Previous notable achievements include identifying multi-month nation state intrusions; working with multiple states’ cybersecurity programs before, during, and after the 2020 election cycle to improve their detection and response capabilities; finding rarely seen (second reporter) bugs in Microsoft Azure/CAP logs; and identifying multiple initial access brokers prior to their targets’ being compromised by second actors.

Leggi articoli simili