GOLD BLADE远程DLL侧加载攻击部署RedLoader

2025年7月，该威胁组织更新攻击流程，结合恶意LNK文件与回收利用的WebDAV技术后，攻击活动激增。

Sophos分析师正在调查GOLD BLADE犯罪集团定制RedLoader恶意软件的新感染链。攻击者利用LNK文件远程执行并侧加载合法可执行文件，进而加载托管在GOLD BLADE基础设施上的RedLoader第一阶段载荷。该组织此前曾分别使用过这些技术：2024年9月观察到利用WebDAV执行远程托管DLL，2025年3月观察到重命名的ADNotificationManager.exe文件侧加载。但2025年7月观察到的组合技术是首次公开报道的初始执行方法。

攻击执行链

图1展示了攻击执行链。攻击者通过第三方招聘网站（如indeed.com）向目标发送精心伪造的求职信PDF。

PDF中的恶意链接会下载ZIP压缩包到受害者系统，其中包含伪装成PDF的LNK文件：

1. LNK文件执行conhost.exe
2. 该可执行文件通过WebDAV连接CloudFlare域名（automatinghrservices[.]workers[.]dev）
3. 重命名的Adobe ADNotificationManager.exe签名文件（伪装成简历）托管在攻击者控制的服务器（dav[.]automatinghrservices[.]workers[.]dev @ SSL\DavWWWRoot\CV-APP-2012-68907872.exe），与RedLoader第一阶段DLL文件（netutils.dll）同目录
4. 执行时，重命名的合法文件会远程侧加载恶意DLL（netutils.dll），启动RedLoader感染链

RedLoader第一阶段会在受害者系统创建名为"BrowserQE\BrowserQE_<Base64编码计算机名>“的计划任务，并从"live[.]airemoteplant[.]workers[.]dev"下载第二阶段独立可执行文件。这种独立可执行文件的使用方式与2024年9月观察到的活动不同，更接近Trend Micro在2024年3月报告的感染链。

计划任务使用PCALua.exe和conhost.exe执行RedLoader第二阶段定制可执行文件"BrowserQE_<Base64编码计算机名>.exe”。虽然该文件名因受害者而异，但Sophos分析师观察到的所有样本SHA256哈希值一致。第二阶段会与其C2服务器通信。

防护措施

7月的攻击活动表明威胁行为体可通过组合现有技术修改攻击链绕过防御。GOLD BLADE仍严重依赖伪装文件类型的LNK文件。组织可通过部署软件限制策略组策略对象来阻止从恶意软件常用目录执行LNK文件，包括：

• C:\Users*\Downloads*.lnk
• %AppDataLocal%*.lnk
• %AppDataRoaming%*.lnk

表1列出了Sophos提供的防护措施：

为降低风险，组织可参考表2的威胁指标进行访问审查和限制。相关域名可能包含恶意内容，在浏览器中打开前请评估风险。IoC指标CSV文件可从Github仓库获取。