Хакеры GOLD BLADE перешли на рекрутинговые платформы и внедряют гибридные атаки с вымогательством

Аналитики Sophos с высокой степенью уверенности связывают кампанию под кодовым названием STAC6565 с группой GOLD BLADE. В период с февраля 2024 по август 2025 года они расследовали около 40 связанных с ней инцидентов. Почти 80% атак были нацелены на организации в Канаде, что указывает на необычно узкую географическую направленность для этой группы. Раньше GOLD BLADE фокусировалась в основном на промышленном шпионаже. Однако теперь она монетизирует вторжения, выборочно шифруя данные жертв.

Группа постоянно совершенствует свои методы. Она отказалась от массовых рассылок и начала злоупотреблять такими сервисами, как Indeed и JazzHR. Злоумышленники загружают на эти платформы поддельные резюме в формате PDF. Эти документы либо содержат вредоносный код напрямую, либо ведут на фишинговые сайты. Этот подход использует доверие рекрутеров к системе отслеживания кандидатов и позволяет обходить защитные решения для электронной почты.

Инфекционная цепочка использует собственный загрузчик RedLoader. Аналитики Sophos выделили три основных этапа ее доставки. С сентября 2024 по июль 2025 года наблюдалось несколько итераций, каждая из которых вносила изменения в формат полезной нагрузки (payload) и механизмы выполнения. Например, в одной из схем использовался файл .lnk, который с помощью утилиты rundll32.exe загружал вредоносную DLL с WebDAV-сервера. В других случаях применялось боковое замещение легитимного файла ADNotificationManager.exe.

Группа демонстрирует высокий уровень профессионализма. Ее деятельность характеризуется ритмом периодов покоя, за которыми следуют всплески активности. Каждая новая волна приносит обновленные инструменты и тактики. GOLD BLADE также использует сложные методы уклонения от обнаружения. В частности, злоумышленники применяют метод Bring Your Own Vulnerable Driver (BYOVD), загружая подписанный, но уязвимый драйвер Zemana AntiMalware. Этот драйвер используется кастомизированной версией утилиты Terminator для отключения систем защиты на конечных точках.

После закрепления в системе (persistence) группа проводит разведку. Она использует такие инструменты, как AD Explorer, для сбора информации о сети, дисках и установленном антивирусном программном обеспечении. Данные упаковываются в запароленные архивы и выгружаются на серверы злоумышленников. Для командования и управления (C2) часто применяется открытый инструмент RPivot, который создает SOCKS-туннели во внутреннюю сеть жертвы.

Ключевым нововведением стало развертывание собственного программного обеспечения-вымогателя QWCrypt. Впервые его использование было зафиксировано в апреле 2025 года. Это указывает на то, что группа может самостоятельно монетизировать доступ к сетям, помимо работы по заказу клиентов. Процесс шифрования тщательно спланирован. Используются автоматизированные сценарии, которые отключают механизмы восстановления, удаляют теневые копии и пытаются обойти защиту. Вымогатель добавляет к зашифрованным файлам расширение .qwCrypt и оставляет записку с требованиями.

Происхождение группы остается загадкой. Хотя некоторые источники предполагают, что это русскоязычная группа, у Sophos недостаточно доказательств для подтверждения этой оценки. GOLD BLADE не похожа на типичных киберпреступников из-за своей дискретной стратегии и долгосрочных кампаний. При этом нет свидетельств ее государственной поддержки. Эксперты рекомендуют организациям усилить защиту. Необходимо обучать сотрудников, особенно в HR-отделах, распознавать фишинговые резюме. Также важно применять технические меры, такие как проверка вложений с рекрутинговых платформ, централизованное управление конечными точками и использование решений класса Managed Detection and Response (MDR).

IPv4

• 109.206.236.209
• 23.254.224.79

Domains

• automatinghrservices.workers.dev
• cv.optimalconfluenceservices.workers.dev
• live.airemoteplant.workers.dev
• local.chronotypelabs.workers.dev
• quiet.msftlivecloudsrv.workers.dev
• soft.rippleserveruns.workers.dev

URLs

• http://162.33.178.61:18810
• http://194.113.245.238:8810
• http://stars.medbury.com:18810
• https://get.easyhrservicesm.workers.dev/id/KEgldoor0327de

MD5

• 02b029e93f1859eb8b05216263db868b
• 0972894a5d3bfe100d22b6a640c2d772
• 0f5744007f5bbdc4ebae8a79e1d3e399
• 16357720fd9b8fee705c4aa13fb03faa
• 264be41070c4270adf337e1119842d9f
• 2ef6b29c7443ff759343368bbf56ae92
• 3debde1aeae4255e0d40ad410421f175
• 43978cd8feea45000bab3d715c87c014
• 4af2096912f8a6dc08b5f71090b4339d
• 5f75d4e51b35f37274340db905209f15
• 70aba3937c6b26b5ead7c773cb411661
• 85c4605c22601156105fc2e98982e5da
• 8b2028dc135d6e06c0a1617ddf04ec29
• 8beaf5bc60bcf735808485ac12457468
• 8d665f24b9c9b90ae9adebed1a94c379
• ae26db422bdc97439c4606e514ae79a8
• af912641a80f0c8a79f77ffe359bb5f6
• bbe856330766da83686750b4eb6767bd
• c4d7582502b42a3224ede295bbac1fc9
• dd81deba7c0066ed848a030efdef3526
• e51eb7ab20848cc68dcb6c65fc181f9a

SHA1

• 0705efc42ab20fda36ea55b6583370b60e087288
• 082464ee1ea8569c60f311b6c870005221f54c31
• 0f1fa903a1b80c645b6e9fd2297fcb8da96fba6d
• 31a167bf48da4dc31de17e16e5b4da9c56e7d7db
• 369acb06aac9492df4d174dbd31ebfb1e6e0c5f3
• 3db407d3e1b2d72ee37232ea520f567b733c5f26
• 3e73debf95ec6fc3fee8507f9d4e764dd9ee2700
• 417d1fdfc1230771dd48de84e78a7071d6f8ece1
• 45777688e870e806aa3123a566f8728e2a0f5620
• 5dd82e082edcc6f005997a27a701301663b8e6a7
• 64eed490f2ebd040b8822c47622c47a0e592e3d8
• 6b53e25bbf07ce657347164026f6bc50680319f5
• 71d0e43c49bf3c869ed1cb9f11ab85cbb375718d
• 798f7c7c61c09a3f3e3c75c09b1464a6efc936dd
• 84e79b115ebe278dc9e36a1c2b51b5cdbb7f900b
• 9bdefba7d577b6c6dbc579624efb8166b8877182
• 9fda15cdac5f73c0f56497b0b32706180871f3be
• a5cfcd25bfa23b700f5284a59dd9390b542881c5
• de5ab1711b338bd7a4cc7f20478a6be892c46a5a
• e908aa98b8e53fa555fb0a0d81138ee4755ee077
• ef740910242d80800c3409991f51f563ea11af9d
• f6c1985418c8cc35e80e525cdb2b7aae416d2fd3

SHA256

• 0b514f6bdf501d600db057a44b652a28889a28ee844ed2c9419f9b45273ad2cc
• 261f78c7fe8162b36a55ad3848dbe4a203e3ea9493feb46988704ea5a01e356c
• 40506a308bfbb71e1f7d6a6473f4cc3eafa8d594232f0f23208494ec3649b69a
• 567f8647be25cd2943a014d525923e9fa17a129cf48b0a9802f0180b13ed130c
• 568352411deff640ba781ae55d98d657da02191d97e0466e6883b966dd1e77db
• 601157a51973814f9f60f269f5537451861029371615115dbf851d9e32d79096
• 62a42954a162e8fe43a976a2b7a43643d3ecf559e64b9d174f50698106783dff
• 6755db8d62c605cb15cc7eca9d857601e0911dd839562027e3cb03f12d25ef4c
• 712f3f8d43b57099d374bd35558da1b6fc48835efa4a55180377a2b22fd95cff
• 7b9673bb17ec56662d15ab78f49a13c78c89f8bc88085d4f3dbb8dd9d9d68f43
• 7c6636711618ef6c539dc6d4868c1c4e7090129e5b544b8e799088f11619c727
• 88177fe4a455312cd94ae2ccbf274181dff1feea85a7288cb91683c788a10462
• 9ce8c43d7d8ddab18fde6ca3c0f23efb5491d460bffc8c0ea5fc2f61a6e7b8e4
• a22676c6897da69c5f2c62b31ad5b0e26af706cbcb052bed60cd784e6b56d70f
• a6c68b0d059d6db29d2c35740b77cd5dedee156ec7da4b2d61c863951b78b5b0
• ab4695e5d5472af124ea69e0c1abb4c9726980b4c99c5da10ae2ba85f55bf1e4
• ac57fdf8297ec48e506f686c7f9ec90c1ccd7f828193eeb37f86483a43519617
• b47447e55fc832b3b25150a9143a6bbd9f504559edb6dd1eb1a9890a221cda5f
• c330c918051e07c50f023e9bd5099dc34f81778c6d0d1a8ad245687b701f5278
• d302836c7df9ce8ac68a06b53263e2c685971781a48ce56b3b5a579c5bba10cc
• d46244bafae8cb2e38eaf22dd650250b2cb35cd9907d3952a28d6ed9c3b83e05
• dcc85cc6b984961187ae364be8ee11541dee4f7a46bea3960c0218465fbc6b96
• ef9a9a48b800e9fc9b10c652d00218ea1a068f000b935d49588898f048510e1e
• f5203c7ac07087fd5029d83141982f0a5e78f169cdc4ab9fc097cc0e2981d926