El paisaje de ciberseguridad enfrenta una amenaza renovada ya que el grupo cibercriminal de la cuchilla de oro ha evolucionado significativamente su metodología de ataque, combinando técnicas previamente observadas para crear una cadena de infección sofisticada.
Esta nueva campaña, que surgió en julio de 2025, aprovecha los archivos LNK maliciosos combinados con una técnica WebDav reciclada para implementar su malware personalizado de cargador rojo en los sistemas de Windows.
La amenaza representa una escalada preocupante en las capacidades del grupo, lo que demuestra cómo los actores de amenaza establecidos adaptan continuamente sus tácticas para evadir la detección y maximizar las tasas de éxito de la infección.
El ataque comienza con un enfoque de ingeniería social engañosamente simple, donde los actores de amenaza distribuyen pdf de carta de presentación bien elaborada a través de sitios de trabajo legítimos de terceros como realmente.com.
Estos documentos contienen enlaces maliciosos que descargan automáticamente los archivos ZIP a los sistemas de víctimas, iniciando un complejo proceso de infección en varias etapas.
La cadena de ejecución de cargador rojo observada (fuente – Sophos)
La sofisticación no se encuentra en el mecanismo de entrega inicial, sino en la cadena de ejecución posterior que combina procesos legítimos del sistema con cargas útiles maliciosas para establecer un acceso persistente y permanece en gran medida sin detectar por las medidas de seguridad tradicionales.
Analistas de Sophos identificado Esta nueva cadena de infecciones al investigar las tácticas en evolución del Grupo Gold Blade, señalando que si bien los componentes individuales se han observado por separado en campañas anteriores, su combinación representa un enfoque sin precedentes para el compromiso del sistema inicial.
Los investigadores observaron que el grupo utilizó previamente técnicas WebDAV para la ejecución remota de DLL en septiembre de 2024 y los métodos de respuesta lateral de DLL en marzo de 2025, pero la campaña de julio de 2025 marca la primera instancia documentada de estas técnicas que se están orquestando juntas.
Sidelading remoto de DLL: una inmersión técnica profunda
El aspecto más sofisticado técnicamente de esta campaña implica el mecanismo de respuesta lateral DLL remota que sirve como base para la implementación de Redloader.
Una vez que el archivo LNK se ejecuta, se desencadena conhost.exe para establecer una conexión WebDAV con el dominio de dominio de nubesharlato de automatización (.) Trabajadores (.) Dev.
La infraestructura maliciosa alberga una versión renombrada del legítimo ejecutable de Adobe AdnotificationManager.exe, que se disfraza de un documento de currículum para mantener la pretensión de ingeniería social.
La innovación técnica crítica se encuentra en el proceso remoto de suelo lateral, donde el ejecutable legítimo carga automáticamente el archivo malicioso netUtils.dll desde el mismo directorio remoto.
Este enfoque crea un ejecutable firmado legítimo que carga el código malicioso sin activar alertas de seguridad típicas.
La etapa 1 de RedLoader establece la persistencia a través de una tarea programada llamada Browserqe \ Browserqe_, demostrando la capacidad del malware para crear identificadores específicos de víctimas mientras mantiene firmas operativas consistentes en diferentes sistemas comprometidos.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
