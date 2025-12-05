Tra febbraio 2024 e agosto 2025, gli analisti Sophos hanno indagato su quasi 40 intrusioni relative a STAC6565, una campagna che gli analisti ritengono con elevata certezza essere associata al gruppo GOLD BLADE (noto anche come RedCurl, RedWolf e Earth Kapre). Questa campagna riflette un focus geografico insolitamente ristretto per il gruppo, con quasi l’80% degli attacchi rivolti a organizzazioni canadesi. Un tempo incentrato principalmente sullo spionaggio informatico, GOLD BLADE ha evoluto la propria attività in un’operazione ibrida che combina il furto di dati con l’implementazione selettiva di ransomware tramite un locker personalizzato denominato QWCrypt.

GOLD BLADE perfeziona continuamente i propri metodi di intrusione e è passato dalle tradizionali e-mail di phishing all’abuso delle piattaforme di reclutamento per inviare curriculum contraffatti. Le sue operazioni seguono un ritmo di dormienza seguito da improvvise esplosioni di attività, con ogni ondata che introduce tecniche di nuova concezione o adattate. Gli aggressori hanno modificato più volte la catena di infezione RedLoader per testare diverse combinazioni di formati di payload, meccanismi di esecuzione e posizioni in cui ospitare i file dannosi. Hanno anche implementato una catena Bring Your Own Vulnerable Driver (BYOVD) che coinvolge driver Zemana rinominati e versioni modificate dello strumento Terminator endpoint detection and response (EDR) killer per eludere il rilevamento.

L’enigma noto come GOLD BLADE

Sin dalla sua comparsa nel 2018, GOLD BLADE è stato collegato ad attacchi mirati al furto di informazioni aziendali sensibili, credenziali e e-mail. La natura mirata delle sue operazioni e l’assenza di un sito di fuga di dati (DLS) suggeriscono che il gruppo conduca intrusioni personalizzate per conto dei clienti secondo un modello di “hack-for-hire”. Nell’aprile 2025, gli analisti Sophos hanno osservato il gruppo distribuire in modo selettivo il ransomware QWCrypt, segnalato per la prima volta da Bitdefender il mese precedente. Gli analisti Sophos hanno continuato a osservare GOLD BLADE distribuire il ransomware contro vittime selezionate, indicando che gli aggressori potrebbero monetizzare in modo indipendente le intrusioni oltre a condurre attività di spionaggio per conto dei clienti.

