Las organizaciones canadienses se han convertido en el centro de una cibercampaña dirigida orquestada por un grupo de actividades de amenazas conocido como STAC 6565 .
La empresa de ciberseguridad Sophos dijo investigó casi 40 intrusiones relacionadas con el actor de la amenaza entre febrero de 2024 y agosto de 2025. La campaña se evalúa con gran confianza para compartir las superposiciones con un grupo de hackers conocido como Espada dorada , que también se conoce como Earth Kapre, RedCurl y Red Wolf.
Se cree que el actor de la amenaza por motivos financieros es activo desde finales de 2018 , inicialmente dirigido a entidades de Rusia, antes de ampliar su enfoque a entidades de Canadá, Alemania, Noruega, Rusia, Eslovenia, Ucrania, el Reino Unido y los EE. UU. El grupo tiene un historial de uso de correos electrónicos de suplantación de identidad para realizar espionaje comercial.
Sin embargo, las oleadas de ataques recientes han descubierto que RedCurl ha participado en ataques de ransomware utilizando una cepa de malware a medida denominada Cripta QW . Una de las herramientas más destacadas del arsenal de los actores de amenazas es RedLoader, que envía información sobre el host infectado a un servidor de comando y control (C2) y ejecuta scripts de PowerShell para recopilar información relacionada con el entorno de Active Directory (AD) comprometido.
«Esta campaña refleja un enfoque geográfico inusualmente estrecho para el grupo, con casi el 80% de los ataques dirigidos a organizaciones canadienses», dijo Morgan Demboski, investigador de Sophos. «Gold Blade, que antes se centraba principalmente en el ciberespionaje, ha evolucionado su actividad hasta convertirse en una operación híbrida que combina el robo de datos con el despliegue selectivo de ransomware a través de un casillero personalizado llamado QwCrypt».
Otros objetivos importantes son EE. UU., Australia y el Reino Unido, siendo los sectores de servicios, fabricación, comercio minorista, tecnología, organizaciones no gubernamentales y transporte los más afectados durante ese período.
Se dice que el grupo opera bajo un modelo de «hackeo a sueldo», realizando intrusiones personalizadas en nombre de los clientes y, al mismo tiempo, desplegando ransomware para monetizar las intrusiones. A pesar de que un Informe 2020 del Group-IB planteó la posibilidad de que se trate de un grupo de habla rusa, actualmente no hay indicios que confirmen o desmientan esta evaluación.
Al describir RedCurl como una «operación profesionalizada», Sophos dijo que el actor de amenazas se diferencia de otros grupos cibercriminales por su capacidad para refinar y desarrollar su oficio, así como por organizar discretos ataques de extorsión. Dicho esto, no hay pruebas que sugieran que esté patrocinada por un estado o que tenga motivaciones políticas.
La empresa de ciberseguridad también señaló que el ritmo operativo está marcado por períodos de inactividad, seguidos de picos repentinos de ataques con tácticas mejoradas, lo que indica que el grupo de hackers podría estar utilizando el tiempo de inactividad para actualizar su conjunto de herramientas.
El STAC6565 comienza con correos electrónicos de suplantación de identidad dirigidos al personal de recursos humanos (RRHH) con el fin de engañarlo para que abra documentos maliciosos disfrazados de currículums o cartas de presentación. Al menos desde noviembre de 2024, la actividad ha recurrido a plataformas legítimas de búsqueda de empleo como Indeed, JazzHR y ADP WorkForceNow para subir los currículos utilizados como armas como parte de un proceso de solicitud de empleo.
«Dado que las plataformas de contratación permiten al personal de RRHH revisar todos los currículums entrantes, alojar las cargas útiles en estas plataformas y enviarlas a través de dominios de correo electrónico desechables no solo aumenta la probabilidad de que se abran los documentos, sino que también evita que las protecciones basadas en el correo electrónico los detecten», explica Demboski.
En un incidente, se descubrió que un currículum falso subido a Indeed redirigía a los usuarios a una URL con trampas explosivas que, en última instancia, llevó al despliegue del ransomware QwCrypt a través de una cadena RedLoader. Se han observado al menos tres secuencias diferentes de entrega de RedLoader: en septiembre de 2024, marzo/abril de 2025 y julio de 2025. Huntress, eSentire y Bitdefender detallaron previamente algunos aspectos de las cadenas de entrega.
El cambio principal observado en julio de 2025 se refiere al uso de un archivo ZIP que ha sido eliminado por el currículum falso. En el archivo hay un acceso directo de Windows (LNK) que se hace pasar por un PDF. El archivo LNK usa "rundll32.exe" para buscar una versión renombrada de "ADNotificationManager.exe" desde un servidor WebDAV alojado en un dominio de Cloudflare Workers.
A continuación, el ataque lanza el ejecutable legítimo de Adobe para descargar la DLL de RedLoader (denominada "srvcli.dll" o "netutils.dll «) desde la misma ruta de WebDAV. La DLL se conecta a un servidor externo para descargar y ejecutar la carga útil de la segunda fase, un binario independiente que se encarga de conectarse a un servidor diferente y recuperar el ejecutable independiente de la tercera fase junto con un archivo DAT malintencionado y un archivo 7-Zip cuyo nombre ha cambiado.
Ambas etapas se basan en el Asistente de compatibilidad de programas de Microsoft (» pcalua.exe «) para la ejecución de la carga útil, un enfoque que también se observó en campañas anteriores. La única diferencia es que, en abril de 2025, el formato de las cargas pasó a ser EXE en lugar de DLL.
«La carga útil analiza el archivo .dat malicioso y comprueba la conectividad a Internet. A continuación, se conecta a otro servidor C2 controlado por un atacante para crear y ejecutar un script .bat que automatiza la detección del sistema», explica Sophos. «El script descomprime AD Explorer de Sysinternals y ejecuta comandos para recopilar detalles como la información del host, los discos, los procesos y los productos antivirus (AV) instalados».
Los resultados de la ejecución se empaquetan en un archivo 7-Zip cifrado y protegido con contraseña y se transfieren a un servidor WebDAV controlado por el atacante. También se ha observado que RedCurl utiliza RPivot, un proxy inverso de código abierto, y Chisel SOCKS5 para las comunicaciones C2.
Otra herramienta utilizada en los ataques es una versión personalizada de la herramienta Terminator que aprovecha un Zemana Controlador antimalware para eliminar los procesos relacionados con el antivirus mediante lo que se denomina un ataque Bring Your Own Vulnerable Driver (BYOVD). En al menos un caso, ocurrido en abril de 2025, los atacantes cambiaron el nombre de ambos componentes antes de distribuirlos a través de recursos compartidos para pequeñas y medianas empresas entre todos los servidores del entorno víctima.
Sophos también señaló que la mayoría de estos ataques se detectaron y mitigaron antes de la instalación de QwCrypt. Sin embargo, tres de los ataques (uno en abril y dos en julio de 2025) condujeron a un despliegue exitoso.
«En el incidente de abril, los atacantes examinaron y recopilaron manualmente archivos confidenciales y, a continuación, detuvieron la actividad durante más de cinco días antes de desplegar el casillero», añadió. «Este retraso puede indicar que los atacantes recurrieron al ransomware tras intentar monetizar los datos o por no conseguir un comprador».
Los scripts de implementación de QwCrypt se adaptan al entorno de destino y, a menudo, contienen una identificación específica de la víctima en los nombres de los archivos. El script, una vez lanzado, comprueba si el servicio Terminator se está ejecutando antes de tomar medidas para deshabilitar la recuperación y ejecutar el ransomware en los dispositivos terminales de la red, incluidos los hipervisores de una organización.
En la última etapa, el script ejecuta un script de limpieza por lotes para eliminar las instantáneas existentes y todos los archivos del historial de la consola PowerShell a fin de impedir la recuperación forense.
«El abuso por parte de Gold Blade de las plataformas de contratación, los ciclos de inactividad y ráfagas y el continuo refinamiento de los métodos de entrega demuestran un nivel de madurez operativa que no suele asociarse a los actores con motivaciones financieras», afirma Sophos. «El grupo mantiene un conjunto de herramientas de ataque completo y bien organizado, que incluye versiones modificadas de herramientas de código abierto y archivos binarios personalizados para facilitar una cadena de distribución de malware en varias etapas».
La revelación se produce cuando Huntress afirma haber notado un enorme aumento en los ataques de ransomware a los hipervisores, pasando del 3% en la primera mitad del año al 25% en lo que va del segundo semestre, impulsado principalmente por el grupo Akira.
«Los operadores de ransomware despliegan las cargas útiles de ransomware directamente a través de los hipervisores, evitando por completo las protecciones tradicionales de punto final. En algunos casos, los atacantes utilizan herramientas integradas, como OpenSSL, para cifrar los volúmenes de las máquinas virtuales, lo que evita tener que cargar archivos binarios de ransomware personalizados» escribió investigadores Anna Pham, Ben Bernstein y Dray Agha.
«Este cambio subraya una tendencia creciente e incómoda: los atacantes atacan la infraestructura que controla todos los hosts y, con el acceso al hipervisor, los adversarios amplifican drásticamente el impacto de su intrusión».
Dado que los actores de amenazas se centran cada vez más en los hipervisores, se recomienda utilizar cuentas ESXi locales, aplicar la autenticación multifactor (MFA), implementar una política de contraseñas seguras, segregar la red de administración del hipervisor de las redes de usuarios generales y de producción, implementar un sistema de acceso directo para auditar el acceso de los administradores, limitar el acceso al plano de control y restringir el acceso a la interfaz de administración de ESXi a dispositivos administrativos específicos.