Il gruppo di cybercriminali denominato STAC6565 ha recentemente intensificato le sue attività contro organizzazioni canadesi, risultando responsabile di una serie di attacchi mirati in cui circa l'80 percento delle vittime si trova in Canada. Secondo le analisi di Sophos, queste intrusioni, quasi quaranta tra febbraio 2024 e agosto 2025, condividono molte caratteristiche con il noto gruppo hacker Gold Blade, conosciuto anche come Earth Kapre, RedCurl e Red Wolf.

Gold Blade opera con una motivazione finanziaria ed è attivo almeno dal 2018, inizialmente focalizzato sulla Russia per poi espandersi a Canada, Germania, Norvegia, Slovenia, Ucraina, Regno Unito e Stati Uniti. In passato il gruppo si dedicava principalmente allo spionaggio industriale tramite campagne di phishing, ma negli ultimi tempi ha adottato una strategia ibrida che combina il furto di dati con l’impiego di ransomware, in particolare una variante denominata QWCrypt.

Uno degli strumenti più utilizzati dal gruppo è RedLoader, che permette di raccogliere informazioni dal sistema infetto, comunicare con server di comando e controllo e facilitare la penetrazione nella rete bersaglio. L’attacco tipico inizia con email di spear-phishing rivolte soprattutto al personale delle risorse umane, utilizzando curriculum infetti caricati su piattaforme legittime come Indeed, JazzHR e ADP WorkforceNow. Questo metodo aumenta la probabilità che i documenti dannosi vengano aperti e riduce il rischio di essere bloccati dai sistemi di sicurezza email.

Catene di infezione e tecniche d’attacco

Nel corso delle indagini sono state individuate diverse catene di infezione, spesso basate su file ZIP malevoli che contengono scorciatoie Windows camuffate da PDF. Queste scorciatoie avviano una sequenza di download e esecuzione di payload dannosi, sfruttando strumenti come “rundll32.exe” e server WebDAV protetti da Cloudflare. I payload raccolgono dettagli sul sistema, inclusi dati relativi a Active Directory e prodotti antivirus installati, e caricano le informazioni raccolte su server controllati dagli aggressori.

Gold Blade si distingue per la professionalità delle sue operazioni, alternando periodi di inattività a improvvisi picchi di attacchi, spesso con tecniche aggiornate e strumenti evoluti, tra cui varianti di software open-source e tool personalizzati. L’uso di ransomware come QWCrypt è spesso preceduto da una fase esplorativa in cui gli attaccanti cercano di monetizzare i dati rubati prima di procedere con la cifratura dei sistemi.

Infrastrutture virtuali e misure difensive

Viene sottolineata la crescente attenzione dei gruppi ransomware verso le infrastrutture virtuali come gli hypervisor ESXi, suggerendo misure preventive come l’implementazione della multi-factor authentication, la segmentazione della rete e la limitazione dell’accesso alle interfacce di gestione.