مجموعة GOLD BLADE تتبنى نموذجًا هجينًا يجمع بين سرقة البيانات وهجمات الفدية المستهدفة، مستخدمةً برنامج تشفير مخصص يُعرف بـ QWCrypt. هذا التغيير الاستراتيجي يشير إلى تطور في أساليب المجموعة التي كانت تركز سابقًا على التجسس.
تأتي هذه التطورات في أعقاب حملة طويلة ومستمرة، تم تتبعها تحت اسم STAC6565، والتي استهدفت حوالي 40 منظمة بين بداية عام 2024 ومنتصف عام 2025. تركزت هذه الحملة بشكل كبير على مؤسسات كندية، بالإضافة إلى شركات في قطاعات الخدمات، الصناعة، التجزئة، والتكنولوجيا.
GOLD BLADE: من التجسس إلى الابتزاز باستخدام QWCrypt
بدلاً من الاعتماد على رسائل البريد الإلكتروني التصيدية التقليدية، تقوم المجموعة الآن باستغلال منصات التوظيف الموثوقة مثل Indeed، JazzHR، ADP، وLinkedIn. يتم تقديم سير ذاتية مزيفة كملفات PDF، والتي إما تحتوي على برمجيات خبيثة أولية أو تعيد توجيه موظفي الموارد البشرية إلى بوابات وهمية لـ “Safe Resume Share” تقوم بتوصيل محتوى خبيث.
نظرًا لأن هذه السير الذاتية تظهر ضمن تدفقات العمل اليومية لعمليات التوظيف، فإنها غالبًا ما تفلت من عمليات الفحص الأمني المعتادة للبريد الإلكتروني.
كشف محللو الأمن في Sophos عن هذا التحول، وربطوه بسلسلة توصيل محسّنة لـ RedLoader، والتي تنتهي بنشر QWCrypt على أنظمة محددة وذات قيمة عالية.
لوحظ أن المجموعة تتبع دورات من فترات هدوء تليها موجات قصيرة وحادة من الاختراقات، مع إضافة أدوات وبرمجيات نصية جديدة وطرق مراوغة في كل موجة. يمنح QWCrypt مجموعة GOLD BLADE وسيلة لتحويل مهمة تجسس إلى حدث ابتزاز مباشر.
عمليات QWCrypt وتأثيرها على الأنظمة
يقوم برنامج التشفير بإلحاق لاحقة .qwCrypt بالملفات، ويترك ملاحظة بعنوان “!!!how_to_unlock_qwCrypt_files.txt”، ويدعم العديد من الأعلام، بما في ذلك وضع يستهدف أنظمة المحاكاة الافتراضية (hypervisors) التي تستضيف الأجهزة الافتراضية. تقوم المجموعة بأرشفة البيانات المسروقة باستخدام 7-Zip وإرسالها عبر WebDAV باستخدام نطاقات Cloudflare Workers، مما يمكنها من التهديد بنشر البيانات حتى لو فشلت عملية التشفير.
تُظهر هذه التحليلات التقنية الشاملة أن المجموعة تتعامل مع عمليات الاختراق كخدمة مُدارة، تتضمن ترقيات مستمرة، وليس كحوادث فردية.
بمجرد أن يقوم موظف في قسم الموارد البشرية بفتح سيرة ذاتية مشبوهة، تبدأ سلسلة متعددة المراحل. قد تحتوي ملفات ZIP التي يتم إسقاطها على اختصار PDF مزيف أو صورة ISO. يقوم هذا الملف بتشغيل نسخة معاد تسميتها من ADNotificationManager.exe، التي تقوم بتحميل برمجية DLL من RedLoader مثل srvcli.dll أو netutils.dll عبر rundll32.exe من خادم WebDAV خلف Cloudflare Workers.
تتصل برمجية DLL الأولية بخادم القيادة والتحكم (C2)، ثم تنشئ مهام مجدولة لسحب حمولات المرحلة الثانية والثالثة إلى مجلد AppDataRoaming الخاص بالمستخدم تحت أسماء مثل “BrowserEngineUpdate_”. تستخدم هذه المهام أدوات النظام المدمجة (living-off-the-land binaries) مثل pcalua.exe لتشغيل الحمولات دون ترك آثار واضحة للمنصات التشغيلية.
تقوم برمجية نصية من نوع .bat بعد ذلك بفك ضغط أداة AD Explorer من Sysinternals، وتشغيل أوامر الاستكشاف، وضغط النتائج باستخدام 7-Zip، ثم تحميلها إلى خوادم WebDAV الخاصة بالمهاجمين مثل local.chronotypelabs[.]workers[.]dev. وعندما يقرر المشغلون نشر QWCrypt، يقومون بإرسال أرشيف 7-Zip مشفر عبر SMB إلى العديد من الخوادم. يتحقق برنامج تشغيل (launcher script) من أن خدمة Terminator المؤتمتة لمنع برامج مكافحة الفيروسات نشطة، ثم يقوم بتعطيل خيارات الاستعادة وتنفيذ برنامج التشفير:
bcdedit /set {default} recoveryenabled no
qwc_537aab1c.exe -v -key -nosd
تستخدم Terminator برنامج تشغيل تابع لـ Zemana AntiMalware (term.sys، والذي تم تغيير اسمه لاحقًا) لإنهاء العمليات المحمية، بل وتضعف دفاعات Windows الأساسية عن طريق تغيير قيم مفاتيح التسجيل الرئيسية:
HKLMSYSTEMCurrentControlSetControlCIConfig /v VulnerableDriverBlocklistEnable /t REG_DWORD /d 0x0 /f HKLMSYSTEMCurrentControlSetControlDeviceGuardScenariosHypervisorEnforcedCodeIntegrity /v Enabled /t REG_DWORD /d 0x0 /f
تقوم برمجية نصية نهائية للتنظيف بتشغيل QWCrypt مع أعلام تشغيل المحاكاة الافتراضية حسب الحاجة، وحذف النسخ الظلية (shadow copies)، ومسح سجل PowerShell، تاركةً وراءها فقط البيانات المشفرة وملاحظة الفدية.