RedCurl vient de signer une attaque qui détonne. Longtemps associé au cyberespionnage, le groupe bascule dans le chiffrement ciblé avec une opération qui vise directement les hyperviseurs. Pas de chaos, pas de revendication publique, mais un ransomware qui laisse planer le doute sur ses véritables intentions.

Detect RedCurl aka EarthKapre APT attacks targeting legal sector organizations using a set of Sigma rules in the SOC Prime Platform.

Explorazione degli stratagemmi di RedCurl nell’usare componenti Windows legittimi per iniettare codici malevoli. Un’indagine condotta da Trend Micro ha messo in luce come gli hacker di RedCurl stiano convertendo elementi genuini del sistema operativo…

The Russian-speaking hacking group called RedCurl has been linked to a ransomware campaign for the first time, marking a departure in the threat actor's tradecraft. The activity, observed by Romanian cybersecurity company Bitdefender, involves the deployment of a never-before-seen ransomware strain dubbed QWCrypt. RedCurl, also called Earth Kapre and Red Wolf, has a history of orchestrating

RedCurl cybercrime group found exploiting Windows Program Compatibility Assistant for malicious activities. This sophisticated method allows attackers

A threat actor named 'RedCurl,' known for stealthy corporate espionage operations since 2018, is now using a ransomware encryptor designed to target Hyper-V virtual machines.

A threat actor named 'RedCurl,' known for stealthy corporate espionage operations since 2018, is now using a ransomware encryptor designed to target Hyper-V virtual machines.

RedCurl deployed QWCrypt ransomware via fake CVs and ISO lures, disabling entire virtual infrastructures.

A threat actor named 'RedCurl,' known for stealthy corporate espionage operations since 2018, is now using a ransomware encryptor designed to target Hyper-V virtual machines. [...]

RedCurl/EarthKapre APT targets legal sector with Adobe-based malware. #Cybersecurity #APT #LegalTech

Mozilla patched a Firefox vulnerability mirroring one actively exploited in Chrome against Russian targets. The RedCurl gang has deployed ransomware for the first time in their operations. Ukraine's railway operator has successfully recovered from a significant cyberattack affecting their online ticket sales. India is cracking down on Google’s billing practices, deeming them anti-competitive. The Morphing Meerkat phishing kit abuses DNS mail exchange records to spoof over 100 brands. A new malware campaign distributed through fake DeepSeek ads on Google has been identified. The GorillaBot malware has launched over 300,000 attacks targeting Windows devices across numerous countries. Chris Wysopal from Veracode discusses the increasing average fix time for security flaws and organizations carrying critical security debt. Liz Stokes shares a fun fact related to cybersecurity. The CyberWire encourages listeners to provide feedback and explore advertising opportunities.

The hacker group RedCurl, known for corporate espionage, has started using the QWCrypt ransomware to attack Hyper-V virtual machines. This new strategy represents an evolution in RedCurl's tactics, which previously focused on discreet surveillance operations. The use of QWCrypt allows the group to specifically target virtualized environments, thereby increasing their ability to disrupt business operations.

The Russian-speaking hacker group RedCurl, also known as Earth Kapre and Red Wolf, has been linked for the first time to a ransomware campaign, marking a shift in its methods. This activity, observed by the Romanian cybersecurity company Bitdefender, involves the deployment of a new strain of ransomware called QWCrypt. RedCurl, traditionally involved in espionage operations, has thus expanded its scope by incorporating ransomware attacks.

Daily cybersecurity news articles on the latest breaches, hackers, exploits and cyber threats. Learn and educate yourself with malware analysis, cybercrime

RedCurl, the stealthy corporate espionage group, has traded its trench coat for a hacker hoodie, now deploying ransomware like it's the latest office memo. Their new QWCrypt ransomware targets Hyper-V virtual machines, making IT teams everywhere wish they'd stuck to typewriters. What's next, RedCurl? Hacking our coffee makers?

カナダの組織が、STAC6565として知られる脅威アクティビティクラスターによって仕組まれた標的型サイバーキャンペーンの焦点として浮上している。 サイバーセキュリティ企業のSophosは、2024年2月から2025年8月の間に、この脅威アクターに関連する約40件の侵害を調査したと述べている。このキャンペーンは、Earth Kapre、RedCurl、Red Wolfとしても知られるGold Bladeと呼ばれるハッキンググループとの重複が高い確度で評価されている。 金銭目的のこの脅威アクターは、当初はロシア国内の組織を標的としていたが、その後カナダ、ドイツ、ノルウェー、ロシア、スロベニア、ウクライナ、英国、米国の組織へと標的を拡大し、2018年末から活動しているとみられている。同グループは、フィッシングメールを用いて商業スパイ活動を行ってきた経緯がある。 しかし、最近の攻撃の波では、RedCurlがQWCryptと名付けられた特注のマルウェア系統を用いたランサムウェア攻撃に関与していることが判明している。脅威アクターの武器庫の中でも注目すべきツールの1つがRedLoaderであり、感染したホストに関する情報をコマンド＆コントロール（C2）サーバーに送信し、PowerShellスクリプトを実行して、侵害されたActive Directory（AD）環境に関連する詳細を収集する。 「このキャンペーンは、グループとしては異例なほど地理的な焦点が狭く、攻撃のほぼ80％がカナダの組織を標的にしています」とSophosの研究者Morgan Demboskiは述べている。「かつては主にサイバースパイ活動に注力していたGold Bladeは、データ窃取と、QWCryptというカスタムロッカーを介した選択的なランサムウェア展開を組み合わせたハイブリッドな活動へと進化しています。」 その他の主要な標的には米国、オーストラリア、英国が含まれ、サービス、製造、小売、テクノロジー、非政府組織、輸送といったセクターが、この期間中に最も大きな打撃を受けている。 同グループは「ハクティビスト代行（hack-for-hire）」モデルで活動しているとされ、顧客のために個別にカスタマイズされた侵入を実行する一方で、その過程でランサムウェアを展開して侵入を収益化している。Group-IBの2020年のレポートでは、ロシア語話者のグループである可能性が指摘されたものの、現時点ではこの評価を裏付ける、あるいは否定する決定的な証拠はない。 SophosはRedCurlを「プロフェッショナルに組織化されたオペレーション」と表現し、同脅威アクターは、自らの手口を洗練・進化させる能力や、目立たない形で恐喝攻撃を仕掛ける能力により、他のサイバー犯罪グループとは一線を画していると述べた。ただし、国家の支援を受けている、あるいは政治的動機を持っていることを示す証拠はないという。 また同社は、作戦のテンポが、活動が見られない期間と、戦術を改善した攻撃が突然急増する期間とで特徴づけられると指摘している。これは、ハッキンググループが活動休止期間を利用してツールセットを刷新している可能性を示唆している。 STAC6565は、人事（HR）担当者を標的としたスピアフィッシングメールから攻撃を開始し、履歴書やカバーレターを装った悪意ある文書を開かせるよう誘導する。少なくとも2024年11月以降、この活動はIndeed、JazzHR、ADP WorkforceNowといった正規の求人検索プラットフォームを悪用し、武器化された履歴書を求人応募プロセスの一環としてアップロードしている。 「採用プラットフォームはHRスタッフがすべての応募履歴書を閲覧できるようにしているため、これらのプラットフォーム上にペイロードをホスティングし、使い捨てのメールドメインを通じて配信することで、文書が開かれる可能性を高めるだけでなく、メールベースの防御による検知も回避できます」とDemboskiは説明した。 あるインシデントでは、Indeedにアップロードされた偽の履歴書が、最終的にRedLoaderチェーンを介したQWCryptランサムウェアの展開につながる細工済みURLへとユーザーをリダイレクトしていたことが判明している。少なくとも3種類のRedLoader配信シーケンスが、2024年9月、2025年3月／4月、2025年7月に観測されている。配信チェーンの一部については、Huntress、eSentire、Bitdefenderが以前に詳細を明らかにしている。 2025年7月に観測された大きな変化は、偽の履歴書によってドロップされるZIPアーカイブの使用に関するものだ。アーカイブ内にはPDFを装ったWindowsショートカット（LNK）が含まれている。このLNKファイルは「rundll32.exe」を用いて、Cloudflare Workersドメインの背後にホストされたWebDAVサーバーから、名前を変更した「ADNotificationManager.exe」を取得する。 その後、攻撃は正規のAdobe実行ファイルを起動し、同じWebDAVパスからRedLoader DLL（「srvcli.dll」または「netutils.dll」という名前）をサイドロードする。このDLLは外部サーバーに接続して第2段階のペイロードをダウンロードおよび実行する。第2段階のペイロードはスタンドアロンのバイナリで、別のサーバーに接続し、第3段階のスタンドアロン実行ファイルに加え、悪意あるDATファイルと名前を変更した7-Zipファイルを取得する役割を担う。 両段階とも、ペイロードの実行にはMicrosoftのプログラム互換性アシスタント（「pcalua.exe」）に依存しており、この手法は過去のキャンペーンでも確認されている。唯一の違いは、ペイロードの形式が2025年4月にDLLからEXEへと移行した点だ。 「ペイロードは悪意ある.datファイルを解析し、インターネット接続を確認します。その後、攻撃者が管理する別のC2サーバーに接続し、システム探索を自動化する.batスクリプトを作成・実行します」とSophosは述べている。「このスクリプトはSysinternals AD Explorerを展開し、ホスト情報、ディスク、プロセス、インストールされているアンチウイルス（AV）製品などの詳細を収集するコマンドを実行します。」 実行結果は暗号化され、パスワード保護された7-Zipアーカイブにまとめられ、攻撃者が管理するWebDAVサーバーに転送される。RedCurlはまた、オープンソースのリバースプロキシであるRPivotや、C2通信のためのChisel SOCKS5を使用していることも観測されている。 攻撃で使用される別のツールとしては、署名付きZemana AntiMalwareドライバーを悪用し、いわゆる「脆弱なドライバー持ち込み攻撃（BYOVD）」によってアンチウイルス関連プロセスを強制終了する、カスタマイズされたTerminatorツールがある。少なくとも2025年4月の1件では、脅威アクターは両コンポーネントの名前を変更した上で、被害組織のすべてのサーバーにSMB共有を通じて配布していた。 Sophosはまた、これらの攻撃の大半はQWCryptがインストールされる前に検知・阻止されたと指摘している。しかし、2025年4月に1件、同年7月に2件の計3件では、ランサムウェアの展開が成功に至った。 「4月のインシデントでは、脅威アクターは手動で機密ファイルを閲覧・収集した後、ロッカーを展開するまで5日以上活動を停止しました」と同社は付け加えた。「この遅延は、攻撃者がデータのマネタイズを試みたものの失敗し、その後ランサムウェアに切り替えた可能性を示唆しています。」 QWCryptの展開スクリプトは標的環境に合わせてカスタマイズされており、多くの場合、ファイル名に被害者固有のIDが含まれている。スクリプトが起動すると、まずTerminatorサービスが実行中かどうかを確認し、その後、復旧機能を無効化し、組織のハイパーバイザーを含むネットワーク全体のエンドポイントデバイス上でランサムウェアを実行する手順を踏む。 最終段階では、スクリプトはクリーンアップ用のバッチスクリプトを実行し、既存のシャドウコピーとすべてのPowerShellコンソール履歴ファイルを削除して、フォレンジックによる復旧を妨げる。 「Gold Bladeが採用プラットフォームを悪用していること、活動休止と急増を繰り返すサイクル、配信手法の継続的な洗練は、金銭目的のアクターとしては通常見られないレベルの運用成熟度を示しています」とSophosは述べている。「同グループは、オープンソースツールを改変したものやカスタムバイナリを含む、包括的でよく組織化された攻撃ツールキットを維持しており、多段階のマルウェア配信チェーンを可能にしています。」 この開示は、Huntressがハイパーバイザーに対するランサムウェア攻撃が急増していることを確認したタイミングで行われたものであり、その割合は年初の半年間の3％から、後半ではこれまでのところ25％へと跳ね上がっており、その主な要因はAkiraグループだという。 「ランサムウェアオペレーターは、ハイパーバイザーを通じて直接ランサムウェアペイロードを展開し、従来型のエンドポイント保護を完全に迂回します。場合によっては、攻撃者はOpenSSLなどの組み込みツールを利用して仮想マシンボリュームを暗号化し、カスタムランサムウェアバイナリをアップロードする必要すら回避します」と研究者のAnna Pham、Ben Bernstein、Dray Aghaは記している。 「この変化は、不快なほどに高まりつつあるトレンドを浮き彫りにしています。すなわち、攻撃者はすべてのホストを制御するインフラを標的としており、ハイパーバイザーへのアクセスを得ることで、侵入の影響を劇的に増幅させているのです。」 脅威アクターによるハイパーバイザーへの注目が高まっていることを踏まえ、ローカルのESXiアカウントを使用すること、多要素認証（MFA）を強制すること、強力なパスワードポリシーを実装すること、ハイパーバイザーの管理ネットワークを本番環境および一般ユーザーネットワークから分離すること、管理者アクセスを監査するためのジャンプボックスを展開すること、コントロールプレーンへのアクセスを制限すること、そしてESXi管理インターフェースへのアクセスを特定の管理用デバイスに限定することが推奨される。 翻訳元:

A threat actor named 'RedCurl,' known for stealthy corporate espionage operations since 2018, is now using a ransomware encryptor designed to target Hyper-V virtual machines.