2025 年的勒索軟體威脅版圖正快速變動，而多年以企業間諜攻擊著稱的 GOLD BLADE（亦稱 RedCurl、RedWolf、Earth Kapre）正展現出前所未見的攻擊策略轉折，成為全球資安圈關注焦點。根據Sophos最新研究， GOLD BLADE自2018年起不斷以高度定向攻擊與長期滲透行動為主軸，並被研判以「駭客服務」形式運作。然而，Sophos分析人員於今年 4 月首次觀察到該組織在特定目標部署 QWCrypt 勒索軟體（最早由Bitdefender回報），之後更持續在多起攻擊事件中重複使用，顯示該組織除了接案執行情報蒐集任務外，也開始主動以勒索方式牟利，攻擊動機與模式均較過往更加多元與複合化。

最新攻擊樣本顯示GOLD BLADE以全新方式濫用求職平台與人才媒合服務，透過偽造履歷、誘導人資下載外部惡意檔案等手法作為初始入侵途徑。

更令人警覺的是，最新攻擊樣本顯示GOLD BLADE以全新方式濫用求職平台與人才媒合服務，透過偽造履歷、誘導人資下載外部惡意檔案等手法作為初始入侵途徑。一旦受害企業的人力資源部門因履歷下載錯誤訊息而點擊駭客提供的替代連結，即可能在不知情的狀況下觸發惡意程式下載與執行，使攻擊者得以迅速取得系統存取權限。由於人資流程在許多企業中防護相對薄弱，這類針對性社交工程攻擊已成為組織防線中最容易被突破的環節之一。

Sophos研究進一步指出，GOLD BLADE具備遠高於一般勒索組織的成熟度，其攻擊鏈結合多階段惡意程式傳導、改版開源工具、自製二進位檔與自研加密鎖定工具，同時大量利用合法程式（LOLBins）以逃避偵測。該組織會在攻擊活動間交替出現休眠期與爆發期，並持續調整技術細節，使其行為模式難以預測，也增加事件調查的複雜度。能夠在間諜行動與勒索攻擊之間靈活切換，更顯示該組織已形成高度模組化、可依任務調整的攻擊框架。

面對此類威脅已明顯跨越「情報蒐集」與「財務勒索」兩大領域的高階攻擊者，資安專家呼籲企業必須重新檢視自身的防禦策略。首先，在招聘流程中應強化文檔安全檢查，例如要求求職附件先經電子郵件安全閘道掃描、隔離含巨集或嵌入連結的履歷文件，並鼓勵人資使用沙箱瀏覽器或安全檢視器開啟檔案，同時建立員工訓練機制，讓人員能識別釣魚攻擊與偽造履歷警訊。其次，企業端點環境必須保持最新防護並接受中央管理，搭配完整日誌資料，以利掌握受影響範圍並加速後續補救工作。

此外，越來越多企業導入託管式偵測與回應（MDR）作為進階防守策略。研究指出，單純部署偵測工具不足以阻擋 GOLD BLADE 這類行為者，必須依賴具備專業訓練的分析團隊持續監控攻擊事件、即時調查異常行為並採取反制行動，才能在攻擊者完成橫向移動或部署勒索軟體前有效阻斷威脅。最後，企業也必須確保關鍵業務資料具備隔離式或離線備份，以在遭遇加密攻擊時將損害降到最低，並縮短整體復原時間。

GOLD BLADE 的持續進化突顯勒索生態系與間諜攻擊模式逐漸融合的趨勢。當威脅行為者已不再侷限於單一動機，企業唯有在流程安全、端點保護、事件監控與員工訓練四大面向同步強化，才能在快速變動的威脅環境中建立足夠韌性，降低潛在損害並提升整體防禦能力。