STAC6565 cible le Canada dans 80 % des attaques alors que Gold Blade déploie le ransomware QWCrypt

The Hacker News - TheHackerNews - 09/12
Sophos rapporte que STAC6565 cible près de 40 victimes, avec 80 % des attaques touchant des entreprises canadiennes et impliquant le ransomware QWCrypt.

Les organisations canadiennes sont devenues la cible d’une cyber-campagne ciblée orchestrée par un groupe d’activités de menace connu sous le nom de STAC6565.

La société de cybersécurité Sophos a déclaré avoir enquêté sur près de 40 intrusions liées à l'acteur menaçant entre février 2024 et août 2025. La campagne est évaluée avec un niveau de confiance élevé pour partager des chevauchements avec un groupe de piratage connu sous le nom de Gold Blade, également connu sous les noms de Earth Kapre, RedCurl et Red Wolf.

On pense que l'acteur malveillant motivé par des raisons financières est actif depuis fin 2018, ciblant initialement des entités en Russie, avant d'étendre son champ d'action à des entités au Canada, en Allemagne, en Norvège, en Russie, en Slovénie, en Ukraine, au Royaume-Uni et aux États-Unis. Le groupe a l'habitude d'utiliser des e-mails de phishing pour mener des activités d'espionnage commercial.

Cependant, de récentes vagues d'attaques ont révélé que RedCurl s'était lancé dans des attaques de ransomware en utilisant une souche de malware sur mesure baptisée QWCrypt. L'un des outils notables de l'arsenal des acteurs menaçants est RedLoader, qui envoie des informations sur l'hôte infecté à un serveur de commande et de contrôle (C2) et exécute des scripts PowerShell pour collecter des détails liés à l'environnement Active Directory (AD) compromis.

"Cette campagne reflète une portée géographique inhabituellement étroite pour le groupe, avec près de 80 % des attaques ciblant des organisations canadiennes", a déclaré Morgan Demboski, chercheur chez Soph...
[Courte citation de 8% de l'article original]

Loading...