Các tổ chức Canada đã trở thành mục tiêu chính của một chiến dịch tấn công mạng có chủ đích do nhóm hoạt động đe dọa được biết đến với tên gọi STAC6565 dàn dựng.
Công ty an ninh mạng Sophos cho biết họ đã điều tra gần 40 vụ xâm nhập liên quan đến nhóm đe dọa này từ tháng 2 năm 2024 đến tháng 8 năm 2025. Chiến dịch này được đánh giá có độ tin cậy cao là có sự trùng lặp với nhóm hacker được gọi là Gold Blade, còn được biết đến với các tên Earth Kapre, RedCurl và Red Wolf.
Nhóm đe dọa có động cơ tài chính này được cho là hoạt động từ cuối năm 2018, ban đầu nhắm vào các thực thể ở Nga, trước khi mở rộng phạm vi tấn công sang Canada, Đức, Na Uy, Nga, Slovenia, Ukraine, Vương quốc Anh và Hoa Kỳ. Nhóm này có lịch sử sử dụng email phishing để thực hiện hoạt động gián điệp thương mại.
Tuy nhiên, các đợt tấn công gần đây cho thấy RedCurl đã tham gia vào các cuộc tấn công ransomware sử dụng một chủng malware tùy chỉnh có tên QWCrypt. Một trong những công cụ đáng chú ý trong kho vũ khí của nhóm đe dọa là RedLoader, công cụ này gửi thông tin về host bị nhiễm đến một máy chủ command-and-control (C2) và thực thi các script PowerShell để thu thập chi tiết liên quan đến môi trường Active Directory (AD) bị xâm nhập.
"Chiến dịch này phản ánh sự tập trung địa lý hẹp bất thường của nhóm, với gần 80% các cuộc tấn công nhắm vào các tổ chức Canada," nhà nghiên cứu Morgan Demboski của Sophos cho biết. "Từng chủ yếu tập trung vào cyber espionage, Gold Blade đã phát triển hoạt động của mình thành một hybrid operation kết hợp data theft với việc triển khai ransomware có chọn lọc thông qua một custom locker có tên QWCrypt."
Các mục tiêu nổi bật khác bao gồm Hoa Kỳ, Úc và Vương quốc Anh, với các lĩnh vực dịch vụ, sản xuất, bán lẻ, công nghệ, các tổ chức phi chính phủ và giao thông vận tải bị ảnh hưởng nặng nề nhất trong khoảng thời gian này.
Nhóm này được cho là hoạt động theo mô hình "hack-for-hire", thực hiện các vụ xâm nhập tùy chỉnh theo yêu cầu của khách hàng, đồng thời triển khai ransomware để kiếm tiền từ các vụ xâm nhập. Mặc dù một báo cáo năm 2020 từ Group-IB đã đưa ra khả năng đây là một nhóm nói tiếng Nga, hiện không có dấu hiệu nào để xác nhận hay phủ nhận đánh giá này.
Mô tả RedCurl là một "professionalized operation", Sophos cho biết nhóm đe dọa này nổi bật so với các nhóm tội phạm mạng khác nhờ khả năng tinh chỉnh và phát triển tradecraft của mình, cũng như thực hiện các cuộc tấn công extortion một cách kín đáo. Tuy nhiên, không có bằng chứng nào cho thấy nhóm này được nhà nước bảo trợ hoặc có động cơ chính trị.
Công ty an ninh mạng cũng chỉ ra rằng operational tempo được đánh dấu bởi các giai đoạn không hoạt động, sau đó là các đợt tấn công tăng đột biến bằng các tactics được cải thiện, cho thấy nhóm hacking có thể đang sử dụng downtime để refresh toolset của mình.
Cách thức tấn công của STAC6565
STAC6565 bắt đầu bằng các email spear-phishing nhắm vào nhân viên human resources (HR) để lừa họ mở các tài liệu độc hại được ngụy trang dưới dạng resumes hoặc cover letters. Kể từ ít nhất tháng 11 năm 2024, hoạt động này đã tận dụng các nền tảng tìm kiếm việc làm hợp pháp như Indeed, JazzHR và ADP WorkforceNow để tải lên các weaponized resumes như một phần của job application process.
"Khi các nền tảng tuyển dụng cho phép nhân viên HR xem xét tất cả các resumes đến, việc lưu trữ payloads trên các nền tảng này và gửi chúng qua các disposable email domains không chỉ làm tăng khả năng tài liệu sẽ được mở mà còn né tránh sự phát hiện của các biện pháp bảo vệ dựa trên email," Demboski giải thích.
Trong một sự cố, một fake resume được tải lên Indeed đã được tìm thấy là chuyển hướng người dùng đến một booby-trapped URL, cuối cùng dẫn đến việc triển khai ransomware QWCrypt thông qua một chuỗi RedLoader. Ít nhất ba RedLoader delivery sequences khác nhau đã được quan sát vào tháng 9 năm 2024, tháng 3/4 năm 2025 và tháng 7 năm 2025. Một số khía cạnh của các delivery chains này trước đây đã được Huntress, eSentire và Bitdefender trình bày chi tiết.
Thay đổi lớn được quan sát vào tháng 7 năm 2025 liên quan đến việc sử dụng một ZIP archive được thả bởi bogus resume. Hiện diện bên trong archive là một Windows shortcut (LNK) giả dạng một PDF. Tệp LNK sử dụng "rundll32.exe" để tìm nạp một phiên bản được đổi tên của "ADNotificationManager.exe" từ một WebDAV server được lưu trữ phía sau một Cloudflare Workers domain.
Cuộc tấn công sau đó khởi chạy legitimate Adobe executable để sideload RedLoader DLL (được đặt tên là "srvcli.dll" hoặc "netutils.dll") từ cùng đường dẫn WebDAV. DLL tiếp tục kết nối với một external server để download và execute second-stage payload, một standalone binary chịu trách nhiệm kết nối với một server khác và retrieving third-stage standalone executable cùng với một malicious DAT file và một renamed 7-Zip file.
Cả hai stages đều dựa vào Program Compatibility Assistant ("pcalua.exe") của Microsoft để thực thi payload, một approach cũng đã được thấy trong các campaigns trước đây. Sự khác biệt duy nhất là format của các payloads đã transitioned vào tháng 4 năm 2025 thành EXEs thay vì DLLs.
Công cụ và Kỹ thuật
"Payload phân tích tệp .dat độc hại và kiểm tra internet connectivity. Sau đó, nó kết nối với một attacker-controlled C2 server khác để tạo và chạy một script .bat tự động hóa việc system discovery," Sophos cho biết. "Script này giải nén Sysinternals AD Explorer và chạy các commands để thu thập chi tiết như host information, disks, processes và các antivirus (AV) products đã cài đặt."
Kết quả thực thi được đóng gói vào một encrypted, password-protected 7-Zip archive và transferred đến một WebDAV server do kẻ tấn công kiểm soát. RedCurl cũng đã được quan sát sử dụng RPivot, một open-source reverse proxy, và Chisel SOCKS5 cho các C2 communications.
Một công cụ khác được sử dụng trong các cuộc tấn công là phiên bản tùy chỉnh của Terminator tool, công cụ này tận dụng một signed Zemana AntiMalware driver để kill antivirus-related processes thông qua một cuộc tấn công được gọi là Bring Your Own Vulnerable Driver (BYOVD). Trong ít nhất một trường hợp vào tháng 4 năm 2025, các threat actors đã đổi tên cả hai components trước khi distributing chúng qua các SMB shares đến tất cả các servers trong victim environment.
Sophos cũng lưu ý rằng phần lớn các cuộc tấn công này đã được detected và mitigated trước khi installation của QWCrypt. Tuy nhiên, ba trong số các cuộc tấn công – một vào tháng 4 và hai vào tháng 7 năm 2025 – đã dẫn đến một successful deployment.
"Trong April incident, các threat actors đã manually browsed và collected sensitive files, sau đó paused activity trong hơn năm ngày trước khi deploying the locker," công ty này nói thêm. "Sự chậm trễ này có thể suggest các attackers đã turned to ransomware sau khi trying to monetize the data hoặc failing to secure a buyer."
Mục tiêu Hypervisor và Khuyến nghị An ninh
"Việc Gold Blade abuse các recruitment platforms, cycles of dormancy và bursts, và continual refinement của delivery methods demonstrate một level of operational maturity không typically associated với financially motivated actors," Sophos cho biết. "Nhóm này maintains một comprehensive và well-organized attack toolkit, bao gồm modified versions của open-source tooling và custom binaries để facilitate một multi-stage malware delivery chain."
Tiết lộ này được đưa ra khi Huntress cho biết họ đã noticed một huge spike trong ransomware attacks on hypervisors, jumping từ 3% trong nửa đầu năm lên 25% cho đến nay trong nửa sau, primarily driven bởi Akira group.
"Ransomware operators deploy ransomware payloads directly through hypervisors, bypassing traditional endpoint protections entirely. In some instances, attackers leverage built-in tools such as OpenSSL to perform encryption of the virtual machine volumes, avoiding the need to upload custom ransomware binaries," các nhà nghiên cứu Anna Pham, Ben Bernstein và Dray Agha của Huntress đã viết.
"Sự thay đổi này underscores một growing và uncomfortable trend: attackers đang targeting infrastructure kiểm soát tất cả các hosts, và với access vào hypervisor, adversaries dramatically amplify impact của intrusion của chúng."
Với sự heightened focus của threat actors on hypervisors, nên use các local ESXi accounts, enforce multi-factor authentication (MFA), implement một strong password policy, segregate management network của hypervisor khỏi production và general user networks, deploy một jump box để audit admin access, limit access vào control plane, và restrict ESXi management interface access vào specific administrative devices.
