Sharpening the knife: GOLD BLADE’s strategic evolution

更新内容包括对招聘平台的新型滥用、修改的感染链，以及扩展为结合数据窃取和勒索软件部署的混合操作

在2024年2月至2025年8月期间，Sophos分析师调查了与STAC6565相关的近40次入侵事件，分析师高度确信该活动与GOLD BLADE威胁组织（也称为RedCurl、RedWolf和Earth Kapre）有关。该活动反映了该组织异常狭窄的地理关注点，近80%的攻击针对加拿大组织。曾经主要专注于网络间谍活动的GOLD BLADE，现已将其活动演变为一种混合操作，将数据窃取与通过名为QWCrypt的自定义勒索软件进行选择性部署相结合。

GOLD BLADE不断完善其入侵方法，并已从传统的网络钓鱼电子邮件转向滥用招聘平台来投递武器化的简历。其运营遵循一段休眠期后突然爆发活动的节奏，每一波攻击都会引入新开发或调整过的攻击技术。该威胁组织多次修改RedLoader感染链，以测试不同的有效负载格式、执行机制和托管恶意文件位置的组合。他们还实施了“自带易受攻击驱动程序”（BYOVD）链，涉及重命名的Zemana驱动程序和修改版的Terminator终端检测与响应（EDR）清除工具，以逃避检测。

神秘的GOLD BLADE

自2018年出现以来，GOLD BLADE一直与旨在窃取敏感商业信息、凭证和电子邮件的攻击有关。其攻击的针对性以及缺乏数据泄露网站（DLS）表明，该组织在“雇佣黑客”模式下代表客户进行定制化的入侵。2025年4月，Sophos分析师观察到该组织选择性部署了QWCrypt勒索软件，该软件于前一个月由Bitdefender首次报告。Sophos分析师继续看到GOLD BLADE对选定的受害者部署该勒索软件，这表明威胁行为者除了为客户进行间谍活动外，可能还在独立地将入侵活动货币化。

GOLD BLADE能够循环使用投递方法并随时间完善其技术，反映了一种专业化的运营，将入侵视为需要定期更新以保持有效性的核心服务。然而，该组织并不完全符合传统的威胁类别。虽然它有经济动机，但GOLD BLADE谨慎的勒索策略、长期运行的活动和不断发展的技术使其与许多其他网络犯罪集团区分开来。同时，没有证据表明该组织受国家支持或有政治动机。关于威胁行为者所在地的信息也知之甚少。尽管一些第三方报告称GOLD BLADE是一个讲俄语的团体，但Sophos分析师目前尚未找到足够的证据来证实或否认这一评估。

攻击节奏与受害者特征分析

Sophos分析师在2024年9月、2025年3月和2025年7月观察到了GOLD BLADE的RedLoader投递链的显著迭代，每次迭代前都有一到两个月的不活动期（见图1）。例如，在3月事件激增和4月QWCrypt攻击之后，该组织似乎进入了间歇期，直到7月才恢复活动，并使用了先前技术的新颖组合。尽管这种模式仅基于Sophos的可见性，但它很可能反映了新攻击链的开发时间以及对该组织方法的外部报告作出的响应。Group-IB在2021年报告了类似的模式，描述该组织在休眠七个月后，使用改进的战术进行了一波攻击。

图1：从2024年8月到2025年8月观察到的GOLD BLADE活动

对STAC6565受害者特征的分析表明，GOLD BLADE已经缩小了其攻击目标，几乎完全专注于北美地区的组织。与STAC6565活动相关的GOLD BLADE攻击中，近80%针对加拿大的组织。美国以14%的比例位居第二（见图2）。

图2：从2024年2月到2025年8月GOLD BLADE按国家划分的攻击目标

行业特定的攻击目标则不那么集中，涵盖了十几个行业。服务行业在21%的事件中成为目标，其次是制造业、零售业和科技行业（见图3）。

图3：从2024年2月到2025年8月GOLD BLADE按行业划分的攻击目标

GOLD BLADE的活动似乎是针对性的，而非机会主义的。基于其网络钓鱼诱饵中使用的定制简历文件名，以及在数周或数月内多次尝试入侵同一组织的行为，威胁行为者可能进行被动的开源情报（OSINT）收集，以识别理想目标或收集其客户指定组织的信息。

初始访问

GOLD BLADE历来通过向人力资源（HR）人员发送精心制作的鱼叉式网络钓鱼电子邮件来发动攻击，这些邮件包含伪装成简历、履历（CV）或来自所谓求职者的求职信的恶意文档。至少从2024年9月起，威胁行为者做出了战术转变，从网络钓鱼电子邮件转向滥用第三方招聘平台（如Indeed、JazzHR和ADP WorkforceNow）来分发其恶意有效负载。

这种通过招聘平台提交武器化简历的方法可能代表了以人力资源为主题的社会工程学的显著演变。许多威胁组织曾通过电子邮件、LinkedIn或Indeed与人力资源人员沟通，引导他们访问外部钓鱼网站来投递恶意软件。然而，GOLD BLADE跳过了这一互动步骤，而是依赖招聘人员对申请人跟踪系统的信任。由于招聘平台使人力资源人员能够审查所有收到的简历，将有效负载托管在这些平台上并通过一次性电子邮件域投递，不仅增加了文档被打开的可能性，还逃避了基于电子邮件的防护措施的检测。

STAC6565活动中使用的初始诱饵通常是作为PDF提交到目标外部招聘门户的简历（见图4）。这些PDF要么直接被武器化，要么链接到外部托管的内容。

图4：上传到JazzHR外部招聘平台的虚假简历

在4月的QWCrypt事件中，一名人力资源员工尝试查看PDF时，出现了一个虚假的Indeed安全简历共享服务页面，显示“简历无法打开”的信息。将光标悬停在“查看”按钮上会显示诱饵域名。点击后，链接将员工重定向到一个虚假的人力资源服务网站查看简历（见图5）。2025年8月，Sophos观察到威胁行为者重复使用此安全简历共享服务模板，制作了以LinkedIn为主题的诱饵。

图5：虚假的Indeed（左）和LinkedIn（右）安全简历共享服务页面，指示用户点击外部链接查看提交的简历

RedLoader投递链

下载后，武器化的简历会启动一个多阶段的感染链，投递GOLD BLADE的自定义RedLoader恶意软件。Sophos分析师将RedLoader投递链分为三个不同的阶段：初始执行、二级有效负载部署和完整恶意软件安装。

Sophos首次在2024年2月观察到RedLoader的部署，其攻击链与Trend Micro次月报告的重叠。然而，2024年9月的一次RedLoader感染引入了一种替代的投递链，该链在接下来的一年中持续演变。到2025年7月，Sophos分析师观察到GOLD BLADE将先前的方法结合成一种新颖的、未报告的投递链（见图6）。

图6：从2024年9月到2025年7月RedLoader投递链的逐步迭代

阶段1：初始执行

投递链的第一阶段始于武器化简历PDF投放一个.zip文件，随后通过以下三种方法之一将初始RedLoader有效负载作为DLL投递：

• 方法1（2024年9月）：虚假简历投放一个ZIP压缩包，其中包含伪装成PDF的.lnk文件。该.lnk文件使用rundll32.exe从托管在Cloudflare Workers域名后面的WebDAV服务器检索初始RedLoader DLL。DLL通过“rundll32.exe .dll, CplApplet”命令在内存中执行。通过从托管在Cloudflare Workers下的域名通过WebDAV获取有效负载，威胁行为者限制了磁盘痕迹，同时隐藏了有效负载的来源。
• 方法2（2025年3月、2025年4月）：虚假简历投放一个ZIP压缩包，其中包含.iso或.img文件。点击后，.iso或.img文件会自动挂载为虚拟驱动器，其中包含重命名的合法ADNotificationManager.exe文件的副本（例如，CV Applicant .exe， CV Applicant ID .scr）。执行合法文件会旁加载初始RedLoader DLL（srvcli.dll或netutils.dll）。
• 方法3（2025年7月）：此方法结合了方法1和方法2。虚假简历投放一个ZIP压缩包，其中包含伪装成PDF的.lnk文件。该.lnk文件使用rundll32.exe从托管在Cloudflare Workers域名后面的WebDAV服务器检索重命名的ADNotificationManager.exe副本（CV-APP-.exe）。执行合法文件会从同一WebDAV路径远程旁加载初始RedLoader DLL（srvcli.dll或netutils.dll）。虽然GOLD BLADE先前为每个受害者分配了唯一的子域名，但2025年7月的多起事件重复使用了相同的workers[.]dev域名（例如，automatinghrservices[.]workers[.]dev）。

执行时，初始RedLoader DLL会使用一个先前归因于GOLD BLADE的独特用户代理字符串（Mozilla/5.0 (Windows NT; Windows NT 10.0;) WindowsPowerShell/5.1.20134.790）打开一个诱饵Indeed登录页面。

阶段2：二级有效负载部署

第一阶段DLL在连接到外部C2服务器后，会创建一个计划任务来下载并执行第二阶段的有效负载，该有效负载暂存在C:\Users\AppData\Roaming\目录中。计划任务和第二阶段恶意软件的文件名通常使用浏览器主题的命名模式（例如，BrowserEngineUpdate、BrowserSMP、BrowserQE），后跟一个Base64编码的计算机名称。

虽然GOLD BLADE使用程序兼容性助手（pcalua.exe）这种“就地取材”二进制文件（LOLBin）来执行有效负载的方式保持不变，但第二和第三阶段有效负载的格式在2025年4月从DLL转变为独立的可执行文件。

• 2024年9月和2025年3月：计划任务启动pcalua.exe，该程序调用rundll32.exe以DLL形式投递第二阶段有效负载。
• 2025年4月和2025年7月：计划任务启动pcalua.exe和一个conhost.exe –headless参数，以独立可执行文件的形式投递第二阶段有效负载。虽然可执行文件名称是针对受害者的，但Sophos分析师观察到的所有2025年7月样本共享相同的SHA256哈希值（f5203c7ac07087fd5029d83141982f0a5e78f169cdc4ab9fc097cc0e2981d926）。

阶段3：完整恶意软件安装

在部署二级有效负载后，攻击者似乎会选择性选择哪些受感染的系统接收最终的RedLoader有效负载。在7月的一起事件中，Sophos分析师观察到第二阶段有效负载向C2基础设施发送信标，但没有进入第三阶段，而同一时间段内受感染的其他受害者则接收了第三阶段有效负载。

在连接到与初始RedLoader DLL不同的外部C2服务器后，第二阶段恶意软件会创建一个新的计划任务来下载并执行最终的RedLoader有效负载，该有效负载通常也暂存在C:/Users//AppData/Roaming目录中。计划任务名称格式是一串单词（例如，HybridDriveCacheRebalance、RegisterDevicePolicyChange、LicenseAcquisition、FODCleanupTask），后跟最终有效负载文件名中的伪随机字母数字子字符串。与其他文件一样，第三阶段恶意软件文件名和计划任务名称中使用的字符串因受害者而异，这表明GOLD BLADE可能正在使用受害者或构建特定的ID来跟踪部署。

• 2024年9月和2025年3月：第三阶段有效负载作为DLL与恶意的.dat文件一起投递。计划任务通过运行“rundll32.exe .dll,CPlApplet”命令或启动pcalua.exe（调用rundll32.exe加载DLL）来执行有效负载。
• 2025年4月和2025年7月：第三阶段有效负载作为独立的可执行文件与恶意的.dat文件和重命名的7-Zip文件一起投递。计划任务通过启动pcalua.exe来执行有效负载。

有效负载会解析恶意的.dat文件并检查互联网连接。然后，它连接到另一个攻击者控制的C2服务器，创建并运行一个.bat脚本来自动化系统发现。该脚本解压Sysinternals AD Explorer并运行命令收集详细信息，如主机信息、磁盘、进程和已安装的防病毒（AV）产品。脚本通过7-Zip将结果压缩成加密的、受密码保护的存档，并将数据传输到攻击者控制的WebDAV服务器。

命令与控制（C2）

在STAC6565活动中，Sophos分析师观察到GOLD BLADE部署RPivot进行C2通信。RPivot是一个开源反向代理，通过SOCKS4将流量隧道传输到内部网络。威胁行为者将SOCKS代理作为名为sra.py或osr.py的Python脚本下载。然后，一个.bat文件执行该脚本以建立与远程IP地址109[.]206[.]236[.]209的连接，端口在不同的事件中有所不同。

在一次QWCrypt事件中，攻击者还使用了Chisel SOCKS5隧道工具。利用开源的非吸吮服务管理器（NSSM）实用程序（该实用程序使可执行文件能够作为系统服务运行），威胁行为者创建了两个不同的Windows服务条目，指向同一个Chisel二进制文件（MSAProfileNotificationHandler.exe）。每项服务都配置为SOCKS客户端，连接到攻击者控制的服务器（例如，stars[.]medbury[.]com:18810， 194[.]113[.]245[.]238:8810）。为了可能轮换C2基础设施或创建冗余执行路径，攻击者在几天后将Chisel二进制文件复制到一个新的二进制文件名（SensorPerformanceEvents.exe），并启动它以提供到不同C2服务器（162[.]33[.]178[.]61:18810）的SOCKS隧道。

防御规避

在几起STAC6565事件中，Sophos分析师观察到威胁行为者使用自定义的Terminator样本和签名的Zemana AntiMalware驱动程序，试图禁用扩展检测与响应（XDR）解决方案。Terminator是一种终端检测与响应（EDR）清除工具，它使用“自带易受攻击驱动程序”（BYOVD）方法，加载合法签名但有漏洞的Zemana驱动程序来终止受保护的进程、卸载驱动程序并修改内核内存。

Sophos分析表明，威胁行为者重新利用了GitHub上发布的开源版Spyboy’s Terminator的代码，并对其进行了修改，使用自定义的XOR例程来混淆所有字符串（见图7）。此XOR实现已在RedLoader样本中使用，用于解码和解析使用AES解密其他API调用的bcrypt函数。eSentire和Huntress等第三方报告了类似的观察结果。然而，Sophos分析显示，Terminator样本中没有AES加密的字符串。

图7：Terminator样本中的自定义XOR算法

一个不寻常的发现是在GOLD BLADE的Terminator样本中发现了完整的程序数据库（PDB）路径： E:\SpecOp\js!_LOCKERS!_TOOLS\13_KILLAV\DISTRIB\WIN 2012 - WIN 2022 (Win10 - Win11)\Terminator_v1.1 (WITHOUT INSTALL)\x64\Release\Terminator.pdb

谨慎的威胁行为者通常在部署前会编辑这些路径，以避免泄露有助于归因或逆向工程的元数据。虽然PDB路径可能是故意设置的假旗，但其存在更可能反映了GOLD BLADE操作安全方面的疏漏。分析该路径可以一窥GOLD BLADE的开发实践，并揭示一个围绕勒索软件操作构建的结构化攻击工具包。该路径还表明，该组织维护着多个构建版本，这些版本包含不同的包（例如，带安装程序与不带安装程序），并且针对特定的操作系统版本进行了定制。

在一些STAC6565事件中，Sophos分析师观察到威胁行为者将Terminator（term.exe）和驱动程序（term.sys）文件投放到C:\ProgramData。当Terminator文件被执行时，它会写入并安装易受攻击的驱动程序（term.sys），然后通过内核模式驱动程序服务（TRM或SfTerm）加载。随后，威胁行为者会删除服务和文件，可能是为了逃避监控持久性服务的检测（见图8）。在7月的一起QWCrypt事件中，攻击者按照此默认命名模式（term*.exe， trm*.exe）部署了多个Terminator二进制文件，以试图绕过Sophos检测。每个变体的二进制哈希值都是唯一的，这表明进行了重新打包或混淆。

图8：Terminator可执行代码包含对名为term.sys的易受攻击驱动程序的搜索

威胁行为者在4月的QWCrypt事件中更进一步，将加载器和驱动程序重命名为lmhost.exe和lmhost.sys，然后通过SMB共享分发到环境中的所有服务器。攻击者随后修改了注册表，以禁用两种核心的Windows安全机制：易受攻击驱动程序阻止列表（用于防止加载已知不良驱动程序）和基于虚拟机监控程序的代码完整性保护（用于防御内核级篡改）。以下是修改的注册表键：

1
2

HKLM\SYSTEM\CurrentControlSet\Control\CI\Config /v VulnerableDriverBlocklistEnable /t REG_DWORD /d 0x0 /f
HKLM\\SYSTEM\\CurrentControlSet\\Control\\DeviceGuard\\Scenarios\\HypervisorEnforcedCodeIntegrity /v Enabled /t REG_DWORD /d 0x0 /f

进行这些更改后，威胁行为者将驱动程序复制到系统目录，并将其安装为内核模式服务（LMHost），设置为在启动时自动启动。他们重复使用相同的方法在所有可用的终端上部署驱动程序（重命名为wmlib.sys）和Terminator工具（重命名为wmlib.exe）。

QWCrypt勒索软件部署

在大多数观察到的STAC6565事件中，Sophos的检测和响应团队在勒索软件部署之前就发出警报并缓解了攻击。然而，Sophos分析师观察到QWCrypt勒索软件在4月部署了一次，在7月部署了两次。在4月的事件中，威胁行为者手动浏览并收集了敏感文件，然后暂停活动超过五天，之后才部署勒索软件。这种延迟可能表明攻击者在试图将数据货币化或未能找到买家后转向了勒索软件。

QWCrypt勒索软件启动器和部署脚本是针对目标环境定制的，脚本名称中包含受害者特定的ID。在4月的事件中，勒索软件和相关脚本通过加密的7-Zip存档（.tmp）投递，并通过自动化的SMB传输暂存在整个环境的终端上。暂存后，威胁行为者使用本地管理员帐户和Impacket远程执行来运行启动器脚本（.bat），该脚本开始了勒索软件部署链。

启动器脚本在从加密的7-Zip存档中提取勒索软件有效负载（qwc_.exe）和相关文件之前，确保Terminator服务（WMLib）处于活动状态。然后，它启动负责执行勒索软件的主脚本（qwc__1.bat）。与启动器脚本一样，主脚本确认Terminator服务正在运行，可能是为了降低活动防护导致脚本失败的风险。它创建了一个互斥文件以防止并发运行，并将大量发现日志（tasklist， WMIC）写入一个临时目录，然后通过curl.exe将其外传到攻击者的C2服务器（local.chronotypelabs . workers . dev）。

qwc__1.bat脚本随后通过‘bcdedit /set {default} recoveryenabled no’命令禁用恢复，并从存档中提取勒索软件有效负载（qwc_.exe）。该脚本尝试通过‘qwc_537aab1c.exe -v –key –nosd’命令在网络上的终端设备上执行勒索软件。然而，Sophos CryptoGuard在受保护的系统上阻止了攻击，导致只有少数未由Sophos管理的主机受到影响。尝试加密终端设备与该威胁组织先前报告的仅针对虚拟机管理程序进行加密的做法不同。攻击者随后尝试在组织的虚拟机管理程序上手动执行二进制文件，使用选项（–hv）专门针对本地运行的虚拟机进行加密。虽然事件中只使用了少数几个标志，但QWCrypt Windows加密器提供了许多使用选项（见图9）。最后，脚本运行清理.bat脚本（qwc__3.bat），该脚本删除现有的卷影副本和每个PowerShell控制台历史文件（ConsoleHost_history.txt），以阻碍取证恢复。

图9：QWCrypt Windows加密器使用标志

该二进制文件会为加密文件附加.qwCrypt扩展名，并在每个加密文件夹中投放勒索说明（!!!how_to_unlock_qwCrypt_files.txt）（见图10）。Sophos分析师在4月事件中观察到的勒索说明似乎是Bitdefender分析附录中所示说明的简化版本。虽然它包含了核心的双重勒索要素，但省略了较长的说服性段落，如详细的保险谈判文本（让人联想到HardBit勒索说明）。从语言上看，QWCrypt两份说明中的几个短语都与著名的LockBit模板几乎逐字匹配（例如，“your data is stolen and encrypted,” “do not delete files,” “a paid training lesson for your admins”）。这种重叠并不一定表明GOLD BLADE和LockBit威胁行为者之间存在联系。更有可能的是，GOLD BLADE正在重用已建立的勒索软件家族的语言来向受害者施压。

图10：QWCrypt勒索说明

建议

GOLD BLADE对招聘平台的滥用、休眠与爆发的循环以及对投递方法的不断完善，显示出通常不与经济动机行为者相关的操作成熟度。除了利用各种“就地取材”二进制文件（LOLBin）外，该组织还维护着一个全面且组织良好的攻击工具包，包括修改版的开源工具和自定义二进制文件，以促进多阶段的恶意软件投递链。GOLD BLADE引入自定义勒索软件进行加密，以及在间谍活动和勒索软件之间转换的能力，进一步表明了该组织的持续演变以及组织加强防御的必要性。

通过培训员工识别网络钓鱼企图和潜在的恶意简历，并建议他们永远不要通过从外部链接下载简历来绕过错误，可以防止许多攻击。将关键业务数据的备份离线或在隔离环境中维护也是良好做法，以限制攻击的影响并促进恢复。此外，以下技术方法对已知的GOLD BLADE战术可能有效：

• 强化招聘流程 – 考虑将来自招聘平台的附件在人力资源审查之前通过电子邮件和安全网关进行检查，或自动隔离包含嵌入式链接、宏或重定向的简历。组织还可以使用安全的文档查看器，在沙盒浏览器或仅限PDF的查看器中打开简历。
• 优先考虑终端覆盖和监控 – 确保每个终端（服务器或工作站）都受到集中管理，并保持保护措施的最新状态。全面的日志记录应该是现代环境的基本要求，以提供受影响数据的可见性，这不仅对于修复很重要，对于响应监管和法律义务也很重要。
• 实施托管检测与响应（MDR）解决方案 – 虽然部署检测和拦截工具至关重要，但只有检测而没有行动效果较差。熟练的分析师必须积极监控、调查和响应警报，以确保全面覆盖。

检测

SophosLabs开发了表1中的检测规则，用于检测与此威胁相关的活动。

表1：Sophos与此威胁相关的检测规则

威胁指标

表2中的威胁指标可用于检测与此威胁相关的活动。请注意，IP地址可能会被重新分配。域名、URL和IP地址可能包含恶意内容，因此在浏览器中打开之前请考虑风险。