GOLD BLADE攻擊鏈再升級 從企業間諜跨向勒索混合模式

2025 年的勒索軟體威脅版圖正快速變動，而多年以企業間諜攻擊著稱的 GOLD BLADE（亦稱 RedCurl、RedWolf、Earth Kapre）正展現出前所未見的攻擊策略轉折，成為全球資安圈關注焦點。根據Sophos最新研究， GOLD BLADE自2018年起不斷以高度定向攻擊與長期滲透行動為主軸，並被研判以「駭客服務」形式運作。然而，Sophos分析人員於今年 4 月首次觀察到該組織在特定目標部署 QWCrypt 勒索軟體（最早由Bitdefender回報），之後更持續在多起攻擊事件中重複使用，顯示該組織除了接案執行情報蒐集任務外，也開始主動以勒索方式牟利，攻擊動機與模式均較過往更加多元與複合化。

圖一 : 最新攻擊樣本顯示GOLD BLADE以全新方式濫用求職平台與人才媒合服務，透過偽造履歷、誘導人資下載外部惡意檔案等手法作為初始入侵途徑。

更令人警覺的是，最新攻擊樣本顯示GOLD BLADE以全新方式濫用求職平台與人才媒合服務，透過偽造履歷、誘導人資下載外部惡意檔案等手法作為初始入侵途徑。一旦受害企業的人力資源部門因履歷下載錯誤訊息而點擊駭客提供的替代連結，即可能在不知情的狀況下觸發惡意程式下載與執行，使攻擊者得以迅速取得系統存取權限。由於人資流程在許多企業中防護相對薄弱，這類針對性社交工程攻擊已成為組織防線中最容易被突破的環節之一。

Sophos研究進一步指出，GOLD BLADE具備遠高於一般勒索組織的成熟度，其攻擊鏈結合多階段惡意程式傳導、改版開源工具、自製二進位檔與自研加密鎖定工具，同時大量利用合法程式（LOLBins）以逃避偵測。該組織會在攻擊活動間交替出現休眠期與爆發期，並持續調整技術細節，使其行為模式難以預測，也增加事件調查的複雜度。能夠在間諜行動與勒索攻擊之間靈活切換，更顯示該組織已形成高度模組化、可依任務調整的攻擊框架。
...
...

使用者別	新聞閱讀限制	文章閱讀限制	出版品優惠
一般使用者	10則/每30天	0則/每30天	付費下載
VIP會員	無限制	25則/每30天	付費下載