GOLD BLADE攻击链再升级 从企业间谍跨向勒索混合模式

2025 年的勒索软体威胁版图正快速变动，而多年以企业间谍攻击着称的 GOLD BLADE（亦称 RedCurl、RedWolf、Earth Kapre）正展现出前所未见的攻击策略转折，成为全球资安圈关注焦点。根据Sophos最新研究， GOLD BLADE自2018年起不断以高度定向攻击与长期渗透行动为主轴，并被研判以「骇客服务」形式运作。然而，Sophos分析人员於今年 4 月首次观察到该组织在特定目标部署 QWCrypt 勒索软体（最早由Bitdefender回报），之後更持续在多起攻击事件中重复使用，显示该组织除了接案执行情报搜集任务外，也开始主动以勒索方式牟利，攻击动机与模式均较过往更加多元与复合化。

图一 : 最新攻击样本显示GOLD BLADE以全新方式滥用求职平台与人才媒合服务，透过伪造履历、诱导人资下载外部恶意档案等手法作为初始入侵途径。

更令人警觉的是，最新攻击样本显示GOLD BLADE以全新方式滥用求职平台与人才媒合服务，透过伪造履历、诱导人资下载外部恶意档案等手法作为初始入侵途径。一旦受害企业的人力资源部门因履历下载错误讯息而点击骇客提供的替代连结，即可能在不知情的状况下触发恶意程式下载与执行，使攻击者得以迅速取得系统存取权限。由於人资流程在许多企业中防护相对薄弱，这类针对性社交工程攻击已成为组织防线中最容易被突破的环节之一。

Sophos研究进一步指出，GOLD BLADE具备远高於一般勒索组织的成熟度，其攻击链结合多阶段恶意程式传导、改版开源工具、自制二进位档与自研加密锁定工具，同时大量利用合法程式（LOLBins）以逃避侦测。该组织会在攻击活动间交替出现休眠期与爆发期，并持续调整技术细节，使其行为模式难以预测，也增加事件调查的复杂度。能够在间谍行动与勒索攻击之间灵活切换，更显示该组织已形成高度模组化、可依任务调整的攻击框架。
...
...

另一名雇主	限られたニュース	文章閱讀限制	出版品優惠
一般使用者	10/ごとに 30 日間	0/ごとに 30 日間	付费下载
VIP会员	无限制	25/ごとに 30 日間	付费下载