Los investigadores de Bitdefender han detectado un cambio significativo en las tácticas del grupo de amenazas persistentes avanzadas (APT) RedCurl. Este grupo, tradicionalmente enfocado en el espionaje corporativo, ha incorporado una nueva herramienta de ransomware llamada QWCrypt, específicamente diseñada para atacar entornos virtualizados basados en Microsoft Hyper-V.
Trayectoria y Evolución de RedCurl
RedCurl, identificado inicialmente por Group-IB en 2020, ha estado operativo desde 2018, ejecutando campañas de ciberespionaje altamente sofisticadas. El grupo ha dirigido sus ataques contra diversos sectores, incluyendo construcción, finanzas, consultoría, comercio minorista, banca y turismo. Su alcance geográfico se ha expandido considerablemente, abarcando desde Rusia y Europa hasta el Sudeste Asiático y Australia.
Características Técnicas de QWCrypt
El ransomware QWCrypt representa una evolución significativa en las capacidades técnicas del grupo, destacando por:
– Implementación del algoritmo de cifrado XChaCha20-Poly1305
– Anexión de extensiones .locked$ o .randombits$ a archivos cifrados
– Capacidad de parametrización mediante argumentos de línea de comandos
– Funcionalidad de cifrado selectivo basado en el tamaño de archivos
Proceso de Infiltración y Técnicas de Ataque
Las operaciones de RedCurl comienzan con campañas de phishing que distribuyen archivos .IMG disfrazados como currículums. El malware emplea DLL sideloading a través de ejecutables legítimos de Adobe, combinando técnicas living-off-the-land con herramientas personalizadas para la propagación lateral.
Mecanismos de Evasión Avanzados
El grupo implementa sofisticados mecanismos de evasión, incluyendo scripts PowerShell multietapa y archivos 7z cifrados. Destaca su enfoque estratégico al excluir del cifrado máquinas virtuales críticas que funcionan como gateways de red, demostrando un profundo conocimiento de infraestructuras empresariales.
Los analistas de ciberseguridad plantean diversas hipótesis sobre esta evolución estratégica de RedCurl. El grupo podría estar operando como contratista para terceros, utilizando el ransomware como distracción táctica, o diversificando sus métodos de monetización. La ausencia de un sitio de filtración de datos sugiere una preferencia por negociaciones discretas con las víctimas, consistente con su modus operandi histórico. Se recomienda a las organizaciones reforzar sus medidas de seguridad en entornos virtualizados y mantener copias de seguridad actualizadas como medidas preventivas esenciales.
