Kanadalı kuruluşlar, şu şekilde bilinen bir tehdit faaliyeti kümesi tarafından düzenlenen hedefli bir siber kampanyanın odak noktası olarak ortaya çıktı: STAC6565.
Siber güvenlik şirketi Sophos, Şubat 2024 ile Ağustos 2025 arasında tehdit aktörüyle bağlantılı yaklaşık 40 saldırıyı araştırdığını söyledi. Kampanya, Earth Kapre, RedCurl ve Red Wolf olarak da bilinen Gold Blade olarak bilinen bir bilgisayar korsanlığı grubuyla örtüşmeleri paylaşma konusunda yüksek güvenle değerlendiriliyor.
Finansal motivasyona sahip tehdit aktörünün 2018’in sonlarından bu yana aktif olduğuna inanılıyor ve başlangıçta Rusya’daki varlıkları hedef alıyor, daha sonra odak noktasını Kanada, Almanya, Norveç, Rusya, Slovenya, Ukrayna, Birleşik Krallık ve ABD’deki kuruluşlara genişletiyor. Grubun ticari casusluk yapmak için kimlik avı e-postaları kullanma geçmişi var.
Bununla birlikte, son saldırı dalgaları, RedCurl’ün, adı verilen özel bir kötü amaçlı yazılım türünü kullanarak fidye yazılımı saldırılarına giriştiğini ortaya çıkardı. QWCrypt. Tehdit aktörünün cephaneliğindeki dikkate değer araçlardan biri, virüs bulaşmış ana bilgisayar hakkındaki bilgileri bir komuta ve kontrol (C2) sunucusuna gönderen ve ele geçirilen Active Directory (AD) ortamıyla ilgili ayrıntıları toplamak için PowerShell komut dosyalarını yürüten RedLoader’dır.
Sophos araştırmacısı Morgan Demboski, “Bu kampanya, saldırıların neredeyse %80’inin Kanadalı kuruluşları hedef almasıyla grup için alışılmadık derecede dar bir coğrafi odağı yansıtıyor” dedi. “Bir zamanlar öncelikli olarak siber casusluğa odaklanan Gold Blade, faaliyetini QWCrypt adlı özel bir dolap aracılığıyla veri hırsızlığını seçici fidye yazılımı dağıtımıyla harmanlayan hibrit bir operasyona dönüştürdü.”
Diğer öne çıkan hedefler arasında hizmet, imalat, perakende, teknoloji, sivil toplum kuruluşları ve ulaştırma sektörlerinin söz konusu dönemde en sert darbeyi aldığı ABD, Avustralya ve Birleşik Krallık yer alıyor.
Grubun “kiralık hack” modeli altında çalıştığı, müşteriler adına özel izinsiz girişler gerçekleştirdiği ve bir yandan da izinsiz girişlerden para kazanmak için fidye yazılımı dağıttığı söyleniyor. Group-IB’nin 2020 tarihli bir raporu, grubun Rusça konuşan bir grup olma olasılığını öne çıkarsa da, şu anda bu değerlendirmeyi doğrulayacak veya reddedecek hiçbir gösterge bulunmuyor.
RedCurl’ü “profesyonelleştirilmiş bir operasyon” olarak tanımlayan Sophos, tehdit aktörünün ticari zanaatını iyileştirme ve geliştirmenin yanı sıra gizli gasp saldırıları düzenleme yeteneği sayesinde diğer siber suçlu gruplarından ayrıldığını söyledi. Bununla birlikte, bunun devlet destekli veya siyasi amaçlı olduğunu gösteren hiçbir kanıt yok.
Siber güvenlik şirketi ayrıca, operasyonel temponun faaliyetin olmadığı dönemler tarafından belirlendiğini ve ardından gelişmiş taktikler kullanılarak yapılan saldırılarda ani artışlar yaşandığını belirtti; bu da bilgisayar korsanlığı grubunun kesinti süresini araç setini yenilemek için kullanabileceğini gösteriyor.
STAC6565, insan kaynakları (İK) personelini hedef alarak onları kandırarak özgeçmiş veya ön yazı gibi görünen kötü amaçlı belgeleri açmalarını sağlayan hedef odaklı kimlik avı e-postalarıyla başlar. En azından Kasım 2024’ten bu yana faaliyet, iş başvuru sürecinin bir parçası olarak silahlı özgeçmişleri yüklemek için Indeed, JazzHR ve ADP WorkforceNow gibi meşru iş arama platformlarından yararlanıyor.
Demboski, “İşe alım platformları İK personelinin gelen tüm özgeçmişleri incelemesine olanak sağladığından, yükleri bu platformlarda barındırmak ve bunları tek kullanımlık e-posta alanları aracılığıyla teslim etmek yalnızca belgelerin açılma olasılığını artırmakla kalmıyor, aynı zamanda e-posta tabanlı korumalar tarafından tespit edilmekten de kaçınıyor.” diye açıkladı.
Bir olayda, Indeed’e yüklenen sahte bir özgeçmişin, kullanıcıları bubi tuzaklı bir URL’ye yönlendirdiği ve sonuçta RedLoader zinciri aracılığıyla QWCrypt fidye yazılımının yayılmasına yol açtığı tespit edildi. Eylül 2024, Mart/Nisan 2025 ve Temmuz 2025’te en az üç farklı RedLoader dağıtım dizisi gözlemlendi. Teslimat zincirlerinin bazı yönleri daha önce Huntress, eSentire ve Bitdefender tarafından ayrıntılı olarak açıklanmıştı.
Temmuz 2025’te gözlemlenen en büyük değişiklik, sahte özgeçmişin düşürdüğü ZIP arşivinin kullanımıyla ilgilidir. Arşivde, PDF’nin kimliğine bürünen bir Windows kısayolu (LNK) mevcuttur. LNK dosyası, Cloudflare Workers alanının arkasında barındırılan bir WebDAV sunucusundan “ADNotificationManager.exe”nin yeniden adlandırılmış bir sürümünü almak için “rundll32.exe”yi kullanır.
Saldırı daha sonra RedLoader DLL dosyasını (“srvcli.dll” veya “netutils.dll” olarak adlandırılır) aynı WebDAV yolundan yüklemek için meşru Adobe yürütülebilir dosyasını başlatır. DLL, farklı bir sunucuya bağlanmaktan ve kötü amaçlı bir DAT dosyası ve yeniden adlandırılmış bir 7-Zip dosyasıyla birlikte üçüncü aşama bağımsız yürütülebilir dosyayı almaktan sorumlu olan bağımsız bir ikili dosya olan ikinci aşama yükünü indirip yürütmek için harici bir sunucuya bağlanmaya devam eder.
Her iki aşama da, önceki kampanyalarda da görülen bir yaklaşım olan yük yürütme için Microsoft’un Program Uyumluluk Asistanı’na (“pcalua.exe”) güveniyor. Tek fark, Nisan 2025’te yüklerin formatının DLL yerine EXE’ye geçmesidir.
Sophos, “Yük, kötü amaçlı .dat dosyasını ayrıştırıyor ve internet bağlantısını kontrol ediyor. Daha sonra, sistem keşfini otomatikleştiren bir .bat betiği oluşturmak ve çalıştırmak için saldırgan tarafından kontrol edilen başka bir C2 sunucusuna bağlanıyor” dedi. “Betik, Sysinternals AD Explorer’ı paketinden çıkarır ve ana bilgisayar bilgileri, diskler, işlemler ve yüklü antivirüs (AV) ürünleri gibi ayrıntıları toplamak için komutları çalıştırır.”
Yürütmenin sonuçları şifrelenmiş, parola korumalı bir 7-Zip arşivinde paketlenir ve saldırgan tarafından kontrol edilen bir WebDAV sunucusuna aktarılır. RedCurl’ün ayrıca açık kaynaklı bir ters proxy olan RPivot ve C2 iletişimleri için Chisel SOCKS5 kullanıldığı da gözlemlendi.
Saldırılarda kullanılan diğer bir araç ise, Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırısı adı verilen saldırı yoluyla antivirüsle ilgili işlemleri öldürmek için imzalı bir Zemana AntiMalware sürücüsünden yararlanan Terminatör aracının özelleştirilmiş bir sürümüdür. Nisan 2025’teki en az bir vakada, tehdit aktörleri her iki bileşeni de SMB paylaşımları aracılığıyla kurban ortamındaki tüm sunuculara dağıtmadan önce yeniden adlandırdı.
Sophos ayrıca bu saldırıların çoğunun QWCrypt kurulmadan önce tespit edildiğini ve hafifletildiğini belirtti. Ancak saldırılardan üçü (biri Nisan’da, ikisi Temmuz 2025’te) başarılı bir dağıtımla sonuçlandı.
“Nisan ayındaki olayda, tehdit aktörleri hassas dosyaları manuel olarak taradı ve topladı, ardından dolabı devreye almadan önce etkinliği beş günden fazla duraklattı” diye ekledi. “Bu gecikme, saldırganların verilerden para kazanmaya çalıştıktan veya bir alıcıyı güvence altına alamadıktan sonra fidye yazılımına yöneldiğini gösteriyor olabilir.”
QWCrypt dağıtım komut dosyaları, hedef ortama göre uyarlanmıştır ve genellikle dosya adlarında kurbana özel bir kimlik içerir. Komut dosyası başlatıldığında, kurtarmayı devre dışı bırakmak ve fidye yazılımını bir kuruluşun hipervizörleri de dahil olmak üzere ağ üzerindeki uç nokta cihazlarında yürütmek için gerekli adımları atmadan önce Terminatör hizmetinin çalışıp çalışmadığını kontrol eder.
Son aşamada komut dosyası, adli kurtarmayı engellemek için mevcut gölge kopyaları ve her PowerShell konsolu geçmiş dosyasını silmek için bir temizleme toplu komut dosyası çalıştırır.
Sophos, “Gold Blade’in işe alım platformlarını kötüye kullanması, hareketsizlik ve patlama döngüleri ve dağıtım yöntemlerinin sürekli iyileştirilmesi, genellikle finansal motivasyona sahip aktörlerle ilişkilendirilmeyen bir düzeyde operasyonel olgunluk gösteriyor” dedi. “Grup, çok aşamalı bir kötü amaçlı yazılım dağıtım zincirini kolaylaştırmak için açık kaynaklı araçların değiştirilmiş versiyonlarını ve özel ikili dosyaları içeren kapsamlı ve iyi organize edilmiş bir saldırı araç setini sürdürüyor.”
Açıklama, Huntress’in, hipervizörlere yönelik fidye yazılımı saldırılarında büyük bir artış fark ettiğini, yılın ilk yarısında yüzde 3’ten ikinci yarıda şu ana kadar yüzde 25’e sıçradığını ve özellikle Akira grubu tarafından yönlendirildiğini söylediğinde geldi.
Araştırmacılar Anna Pham, Ben Bernstein ve Dray Agha, “Fidye yazılımı operatörleri, geleneksel uç nokta korumalarını tamamen atlayarak fidye yazılımı yüklerini doğrudan hipervizörler aracılığıyla dağıtıyor. Bazı durumlarda saldırganlar, özel fidye yazılımı ikili dosyalarını yükleme ihtiyacını ortadan kaldırarak sanal makine birimlerinin şifrelenmesini gerçekleştirmek için OpenSSL gibi yerleşik araçlardan yararlanıyor” diye yazdı.
“Bu değişim, büyüyen ve rahatsız edici bir eğilimin altını çiziyor: Saldırganlar, tüm ana bilgisayarları kontrol eden altyapıyı hedef alıyor ve saldırganlar, hipervizöre erişim sayesinde izinsiz girişlerin etkisini önemli ölçüde artırıyor.”
Tehdit aktörlerinin hipervizörlere artan odaklanması göz önüne alındığında, yerel ESXi hesaplarının kullanılması, çok faktörlü kimlik doğrulamanın (MFA) zorunlu kılınması, güçlü bir şifre politikası uygulanması, hipervizörün yönetim ağını üretim ve genel kullanıcı ağlarından ayırması, yönetici erişimini denetlemek için bir atlama kutusu dağıtılması, kontrol düzlemine erişimin sınırlandırılması ve ESXi yönetim arayüzü erişiminin belirli yönetim cihazlarına kısıtlanması tavsiye edilir.