Các nhà phân tích của Sophos đã phát hiện một chuỗi lây nhiễm mới được sử dụng bởi nhóm tội phạm mạng có động cơ tài chính GOLD BLADE, còn được biết đến với tên gọi RedCurl, Red Wolf, và Earth Kapre. Nhóm này triển khai mã độc tùy chỉnh RedLoader trên các hệ thống Windows, thể hiện một mối đe dọa mạng đáng kể đối với các tổ chức.
Nhóm GOLD BLADE, hoạt động từ năm 2018, chuyên về gián điệp thương mại. Chúng đã được quan sát sử dụng các email lừa đảo có mục tiêu cao để xâm nhập vào các tổ chức. Trong các chiến dịch gần đây từ cuối năm 2024 đến đầu năm 2025, GOLD BLADE tập trung vào nhân sự, ngụy trang tài liệu độc hại dưới dạng sơ yếu lý lịch hoặc hồ sơ xin việc của ứng viên.
Chuỗi Lây Nhiễm Mới và Sự Thích Ứng của Kẻ Tấn Công
Bản sửa đổi mới nhất, được quan sát vào tháng 7 năm 2025, kết hợp các kỹ thuật đã thấy trước đây theo một cách chưa từng được báo cáo. Kỹ thuật này tận dụng các tệp LNK để thực thi từ xa và kỹ thuật sideloading để thiết lập liên lạc command-and-control (C2). Sự phát triển này làm nổi bật khả năng thích ứng của nhóm trong việc vượt qua các biện pháp phòng thủ bằng cách tái sử dụng các công cụ và cơ sở hạ tầng hợp pháp.
Giai đoạn ban đầu: Email lừa đảo và file LNK
Cuộc tấn công mạng bắt đầu với một thư xin việc được soạn thảo kỹ lưỡng ở định dạng PDF, được gửi qua các trang web tìm việc của bên thứ ba. Nhúng trong tài liệu PDF là một liên kết độc hại tải xuống một kho lưu trữ ZIP chứa tệp LNK ngụy trang dưới dạng tài liệu PDF.
Khi được mở, tệp LNK sẽ thực thi conhost.exe, một tiến trình host console hợp pháp của Windows. Sau đó, tiến trình này sử dụng WebDAV để kết nối với một miền được lưu trữ trên CloudFlare do kẻ tấn công kiểm soát. Thiết lập này lưu trữ từ xa một tệp thực thi đã được đổi tên và ký số, có nguồn gốc từ Adobe (ví dụ: ADNotificationManager.exe), được ngụy trang dưới dạng tệp sơ yếu lý lịch.
Trong cùng thư mục là tải trọng RedLoader giai đoạn 1, một DLL độc hại có tên netutils.dll. Tệp thực thi hợp lệ sideload DLL này từ xa, khởi tạo chuỗi lây nhiễm mà không ghi trực tiếp các tệp độc hại vào đĩa nạn nhân. Điều này giúp tránh bị một số hệ thống phát hiện điểm cuối nhận diện. Để biết thêm về việc các kỹ thuật không ghi tệp có thể né tránh phát hiện như thế nào, bạn có thể tham khảo các khai thác liên quan đến tệp LNK.
Giai đoạn 2: RedLoader và Thăm dò Hệ thống
Sau khi được tải, RedLoader giai đoạn 1 tạo một tác vụ theo lịch trình trên hệ thống bị xâm nhập, được đặt tên theo định dạng cụ thể của nạn nhân, ví dụ: ‘BrowserQE\BrowserQE_<Tên máy tính được mã hóa Base64>’. Tác vụ này tải xuống một tệp thực thi độc lập cho RedLoader giai đoạn 2 từ một miền khác do kẻ tấn công kiểm soát.
Không giống như các quan sát trước đó vào tháng 9 năm 2024, liên quan đến các DLL được lưu trữ từ xa, giai đoạn này sử dụng một tệp thực thi độc lập, gợi nhớ đến các chiến thuật được báo cáo vào đầu năm 2025. Tác vụ theo lịch trình sử dụng PCALua.exe và conhost.exe để chạy tệp thực thi giai đoạn 2. Tệp này mang một hàm băm SHA256 nhất quán trên các mẫu, mặc dù tên tệp cụ thể cho từng nạn nhân.
Tệp thực thi này sau đó thiết lập liên lạc C2, truyền thông tin host và thực thi các script PowerShell để thăm dò môi trường Active Directory. Điều này tạo điều kiện cho các hoạt động gián điệp tiếp theo, chẳng hạn như đánh cắp dữ liệu. Sự tinh vi trong chuỗi tấn công mạng này đặt ra một thách thức lớn cho các hệ thống bảo mật truyền thống.
Chiến thuật “Living-off-the-Land” và Sự Kết Hợp Kỹ Thuật
Việc nhóm GOLD BLADE dựa vào các tệp thực thi được ký hợp lệ, như của Adobe, để sideload nhấn mạnh chiến lược “living-off-the-land” của chúng. Kỹ thuật này kết hợp tải trọng độc hại với các tiến trình đáng tin cậy để duy trì sự bền bỉ và tránh bị phát hiện xâm nhập. Chiến lược này làm cho việc theo dõi mối đe dọa mạng trở nên phức tạp hơn.
Chuỗi tấn công tháng 7 năm 2025 này kết hợp việc thực thi DLL từ xa dựa trên WebDAV được ghi nhận lần đầu vào tháng 9 năm 2024 với việc sideload các tệp Adobe đã được đổi tên, xuất hiện vào tháng 3 năm 2025. Đây là một sự kết hợp tinh vi chưa từng được công khai tài liệu cho đến nay.
Biện pháp Phòng Ngừa và Phát Hiện
Để chống lại những mối đe dọa mạng này, các tổ chức nên triển khai Chính sách Hạn chế Phần mềm (Software Restriction Policies) thông qua Group Policy Objects. Mục tiêu là chặn thực thi tệp LNK từ các thư mục có rủi ro cao, chẳng hạn như thư mục tải xuống của người dùng và thư mục dữ liệu ứng dụng.
Indicators of Compromise (IOCs) và Dấu hiệu Phát hiện
Theo báo cáo của Sophos, có các phát hiện cụ thể để nhận diện và ngăn chặn các cuộc tấn công mạng này:
- Evade_28k: Chặn các nỗ lực sideloading với các tệp thực thi Adobe.
- WIN-DET-EVADE-HEADLESS-CONHOST-EXECUTION-1: Xác định các tiến trình con conhost.exe đáng ngờ.
- Troj/Agent-BLKU: Phát hiện tĩnh mã độc RedLoader giai đoạn 2.
Việc xem xét và hạn chế quyền truy cập vào các chỉ số đã biết có thể giảm thiểu rủi ro hơn nữa, mặc dù cần thận trọng khi điều tra các miền có khả năng độc hại. Các giải pháp phát hiện xâm nhập và mã độc RedLoader cần được cập nhật liên tục để đối phó với sự thay đổi của các chiến thuật này. Chi tiết về các phát hiện này có thể được tìm thấy trong báo cáo đầy đủ của Sophos tại Sophos News.
