.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Entre febrero de 2024 y agosto de 2025, los analistas de Sophos investigaron casi 40 intrusiones relacionadas con STAC6565, una campaña que los analistas evalúan con alta confianza que está asociada con el grupo de amenazas GOLD BLADE (también conocido como RedCurl, RedWolf y Earth Kapre). Esta campaña refleja un enfoque geográfico inusualmente limitado para el grupo, ya que casi el 80 % de los ataques se dirigen a organizaciones canadienses. GOLD BLADE, que antes se centraba principalmente en el ciberespionaje, ha evolucionado su actividad hacia una operación híbrida que combina el robo de datos con el despliegue selectivo de ransomware a través de un bloqueador personalizado llamado QWCrypt.
GOLD BLADE perfecciona continuamente sus métodos de intrusión y ha pasado de los correos electrónicos de phishing tradicionales al abuso de plataformas de empleo para enviar currículos maliciosos. Sus operaciones siguen un ritmo de inactividad seguido de repentinas oleadas de actividad, y cada oleada introduce técnicas recién desarrolladas o adaptadas. Los autores de las amenazas han modificado la cadena de infección RedLoader en múltiples ocasiones para probar diferentes combinaciones de formatos de carga útil, mecanismos de ejecución y ubicaciones para alojar archivos maliciosos. También han implementado una cadena Bring Your Own Vulnerable Driver (BYOVD) que incluye controladores Zemana renombrados y versiones modificadas de la herramienta Terminator endpoint detection and response (EDR) killer para evadir la detección.
El enigma conocido como GOLD BLADE
Desde su aparición en 2018, GOLD BLADE ha estado vinculado a ataques destinados a robar información comercial confidencial, credenciales y correos electrónicos. La naturaleza selectiva de sus operaciones y la ausencia de un sitio de fuga de datos (DLS) sugieren que el grupo lleva a cabo intrusiones personalizadas en nombre de sus clientes bajo un modelo de «hackeo por encargo». En abril de 2025, los analistas de Sophos observaron que el grupo desplegaba selectivamente el ransomware QWCrypt, que fue denunciado por primera vez por Bitdefender el mes anterior. Los analistas de Sophos han seguido viendo cómo GOLD BLADE despliega el ransomware contra víctimas seleccionadas, lo que indica que los actores maliciosos pueden estar monetizando de forma independiente las intrusiones, además de llevar a cabo espionaje para sus clientes.
La capacidad de GOLD BLADE para alternar entre diferentes métodos de entrega y perfeccionar sus técnicas con el tiempo refleja una operación profesionalizada que trata las intrusiones como un servicio básico que requiere actualizaciones rutinarias para mantener su eficacia. Sin embargo, el grupo no encaja perfectamente en una categoría de amenaza convencional. Aunque tiene motivaciones económicas, la discreta estrategia de extorsión de GOLD BLADE, sus campañas de larga duración y sus técnicas en constante evolución lo diferencian de muchos otros grupos ciberdelincuentes. Al mismo tiempo, no hay pruebas de que el grupo esté patrocinado por un Estado o tenga motivaciones políticas. Tampoco se sabe mucho sobre dónde se encuentran los autores de las amenazas. Aunque algunos terceros informan de que GOLD BLADE es un grupo de habla rusa, los analistas de Sophos no han encontrado pruebas suficientes para confirmar o desmentir esa afirmación por el momento.
Lee el artículo completo en inglés aquí.