STAC6565 در ۸۰ درصد حملات، کانادا را هدف قرار میدهد، زیرا Gold Blade از باجافزار QWCrypt استفاده میکند.
سازمانهای کانادایی به عنوان کانون کمپین سایبری هدفمندی ظاهر شدهاند که توسط گروه فعالیت تهدید STAC6565 سازماندهی شده است. شرکت امنیت سایبری Sophos اعلام کرد که تقریباً ۴۰ نفوذ مرتبط با این عامل تهدید را بین فوریه ۲۰۲۴ و آگوست ۲۰۲۵ بررسی کرده است. این کمپین با اطمینان بالا ارزیابی میشود که با یک گروه هکری به نام Gold Blade (معروف به Earth Kapre، RedCurl و Red Wolf)، همپوشانی دارد. اعتقاد بر این است که این عامل تهدید با انگیزه مالی از اواخر سال ۲۰۱۸ فعال بوده و در ابتدا نهادهایی در روسیه را هدف قرار داده است، سپس تمرکز خود را به نهادهایی در کانادا، آلمان، نروژ، روسیه، اسلوونی، اوکراین، انگلستان و ایالات متحده گسترش داده است. این گروه سابقه استفاده از ایمیلهای فیشینگ برای انجام جاسوسی تجاری را دارد. با این حال، موجهای حمله اخیر نشان داده است که RedCurl با استفاده از بدافزار سفارشی QWCrypt در حملات باجافزاری شرکت داشته است. یکی از ابزارهای قابل توجه این عامل تهدید، RedLoader است که اطلاعات مربوط به میزبان آلوده را به سرور فرمان و کنترل (C2) ارسال میکند و اسکریپتهای پاورشل را برای جمعآوری جزئیات مربوط به محیط Active Directory (AD) آسیبپذیر اجرا میکند.
این کمپین نشاندهنده تمرکز جغرافیایی غیرمعمول و محدود این گروه است، به طوری که تقریباً ۸۰٪ از حملات، سازمانهای کانادایی را هدف قرار میدهد. Gold Blade که زمانی عمدتاً بر جاسوسی سایبری متمرکز بود، فعالیت خود را به عملیات ترکیبی تبدیل کرده است که سرقت دادهها را با استقرار گزینشی باجافزار از طریق قفلکننده سفارشی به نام QWCrypt ترکیب میکند. از دیگر اهداف برجسته میتوان به بخشهای خدمات، تولید، خردهفروشی، فناوری، سازمانهای غیردولتی و حملونقل در ایالات متحده، استرالیا و بریتانیا اشاره کرد. از دیگر ابزار مورد استفاده در این حملات میتوان به نسخه سفارشی ابزار Terminator اشاره کرد که از درایور امضا شده Zemana AntiMalware برای از بین بردن فرآیندهای مرتبط با آنتی ویروس از طریق حمله Bring Your Own Vulnerable Driver (BYOVD) استفاده میکند.
https://thehackernews.com/2025/12/android-malware-fvncbot-seedsnatcher.html
