گروه هکری روسی زبان به نام RedCurl (معروف به Earth Kapre و Red Wolf) با یک کمپین باجافزار مرتبط شناخته شده است که نشاندهنده انحراف در تجارت این عامل تهدید است.
فعالیت مشاهده شده توسط شرکت امنیت سایبری رومانیایی Bitdefender، شامل استقرار نوعی باجافزار جدید به نام QWCrypt است که به طور خاص جهت هدف قرار دادن ماشینهای مجازی میزبانی شده Hyper-V در شبکههای در معرض خطر طراحی شده است. RedCurl حداقل از نوامبر 2018 فعال است و سابقه سازماندهی حملات جاسوسی شرکتها با هدف نهادهای مختلف در کانادا، آلمان، نروژ، روسیه، اسلوونی، اوکراین، بریتانیا و ایالات متحده را دارد. این حملات با ایمیلهای فیشینگ با پیوستهای “IMG.” که به صورت CV پنهان شدهاند، شروع میشود.
افزون بر این، RedCurl جهت حفظ مخفیکاری در سیستمهای ویندوز از ابزارهای “living-off-the-land” ، برای پخش جانبی در شبکه بدون راهاندازی ابزارهای امنیتی از نوعی wmiexec سفارشی و جهت دسترسی تونل/RDP از ابزار “Chisel” استفاده میکند. همچنین برای غیرفعالسازی سیستمهای دفاعی قبل از استقرار باجافزار از آرشیوهای رمزگذاریشده ۷z و فرآیند چند مرحلهای پاورشل استفاده میکند.
https://www.bleepingcomputer.com/news/security/redcurl-cyberspies-create-ransomware-to-encrypt-hyper-v-servers
https://thehackernews.com/2025/03/redcurl-shifts-from-espionage-to.html
