2025 年的勒索软体威胁版图正快速变动，而多年以企业间谍攻击着称的 GOLD BLADE（亦称 RedCurl、RedWolf、Earth Kapre）正展现出前所未见的攻击策略转折，成为全球资安圈关注焦点。根据Sophos最新研究， GOLD BLADE自2018年起不断以高度定向攻击与长期渗透行动为主轴，并被研判以「骇客服务」形式运作。然而，Sophos分析人员於今年 4 月首次观察到该组织在特定目标部署 QWCrypt 勒索软体（最早由Bitdefender回报），之後更持续在多起攻击事件中重复使用，显示该组织除了接案执行情报搜集任务外，也开始主动以勒索方式牟利，攻击动机与模式均较过往更加多元与复合化。

最新攻击样本显示GOLD BLADE以全新方式滥用求职平台与人才媒合服务，透过伪造履历、诱导人资下载外部恶意档案等手法作为初始入侵途径。

更令人警觉的是，最新攻击样本显示GOLD BLADE以全新方式滥用求职平台与人才媒合服务，透过伪造履历、诱导人资下载外部恶意档案等手法作为初始入侵途径。一旦受害企业的人力资源部门因履历下载错误讯息而点击骇客提供的替代连结，即可能在不知情的状况下触发恶意程式下载与执行，使攻击者得以迅速取得系统存取权限。由於人资流程在许多企业中防护相对薄弱，这类针对性社交工程攻击已成为组织防线中最容易被突破的环节之一。

Sophos研究进一步指出，GOLD BLADE具备远高於一般勒索组织的成熟度，其攻击链结合多阶段恶意程式传导、改版开源工具、自制二进位档与自研加密锁定工具，同时大量利用合法程式（LOLBins）以逃避侦测。该组织会在攻击活动间交替出现休眠期与爆发期，并持续调整技术细节，使其行为模式难以预测，也增加事件调查的复杂度。能够在间谍行动与勒索攻击之间灵活切换，更显示该组织已形成高度模组化、可依任务调整的攻击框架。

面对此类威胁已明显跨越「情报搜集」与「财务勒索」两大领域的高阶攻击者，资安专家呼吁企业必须重新检视自身的防御策略。首先，在招聘流程中应强化文档安全检查，例如要求求职附件先经电子邮件安全闸道扫描、隔离含巨集或嵌入连结的履历文件，并鼓励人资使用沙箱浏览器或安全检视器开启档案，同时建立员工训练机制，让人员能识别钓鱼攻击与伪造履历警讯。其次，企业端点环境必须保持最新防护并接受中央管理，搭配完整日志资料，以利掌握受影响范围并加速後续补救工作。

此外，越来越多企业导入托管式侦测与回应（MDR）作为进阶防守策略。研究指出，单纯部署侦测工具不足以阻挡 GOLD BLADE 这类行为者，必须依赖具备专业训练的分析团队持续监控攻击事件、即时调查异常行为并采取反制行动，才能在攻击者完成横向移动或部署勒索软体前有效阻断威胁。最後，企业也必须确保关键业务资料具备隔离式或离线备份，以在遭遇加密攻击时将损害降到最低，并缩短整体复原时间。

GOLD BLADE 的持续进化突显勒索生态系与间谍攻击模式逐渐融合的趋势。当威胁行为者已不再局限於单一动机，企业唯有在流程安全、端点保护、事件监控与员工训练四大面向同步强化，才能在快速变动的威胁环境中建立足够韧性，降低潜在损害并提升整体防御能力。