От разведки к разрушению: RedCurl меняет стратегию кибератак

Хакерская группа RedCurl, ранее известная по операциям корпоративного шпионажа , впервые зафиксирована в связке с атакой, в ходе которой был применён вирус-вымогатель. Такой поворот в стратегии делает деятельность этой группировки ещё более опасной. Зафиксированное изменение наступило на фоне кампании, исследованной румынской Bitdefender, в ходе которой использовалась ранее неизвестная вредоносная программа QWCrypt.

Ранее RedCurl, также известная как Earth Kapre и Red Wolf, фокусировалась на получении конфиденциальной информации у компаний из Канады, Германии, Великобритании, США, Словении, Украины и других стран. Группа активна с 2018 года, а её типичной техникой был фишинг с HR-приманками, позволяющий запускать вредоносный код на системах жертв.

В январе 2025 года специалисты Huntress отмечали активность группы в Канаде, где распространялся RedLoader — загрузчик с функциями удалённого доступа. Уже в феврале компания eSentire зафиксировала использование поддельных PDF-файлов резюме, прикреплённых к фишинговым письмам, для подгрузки вредоносного кода с помощью легитимного процесса Adobe — «ADNotificationManager.exe».

По данным Bitdefender, в новой атаке RedCurl использовала ISO-образы, замаскированные под файлы резюме. Внутри находился якобы скринсейвер Windows, который на деле представлял собой тот же исполняемый файл «ADNotificationManager.exe», запускающий вредоносную библиотеку «netutils.dll» методом DLL Sideloading.

После запуска вредонос направлял браузер жертвы на настоящую страницу входа Indeed (американского веб-сайта по трудоустройству), создавая иллюзию, что был открыт обычный документ, пока на фоне происходило заражение системы.

Загрузчик выполняет несколько функций: скачивает следующую вредоносную библиотеку, создавая задание на выполнение для обеспечения постоянного присутствия на системе, а также активирует новый компонент через «pcalua.exe» — способ, ранее описанный исследователями Trend Micro. Доступ, полученный на этом этапе, позволяет злоумышленникам перемещаться по сети, собирать информацию и наращивать уровень контроля.

На этом фоне особое внимание привлекла атака, в ходе которой RedCurl пошла дальше обычного сбора данных и впервые использовала программу-вымогатель. По данным Bitdefender, она была применена для шифрования виртуальных машин на хост-серверах, что привело к полной остановке всех размещённых на них сервисов. Такой подход позволил нанести максимальный урон при минимальных усилиях — инфраструктура компании оказалась парализована.

Перед началом шифрования вымогатель применял тактику BYOVD — подгрузку уязвимого драйвера — для отключения защитных решений на конечных устройствах. Также собиралась техническая информация о системе. Интересно, что текст выкупа содержал фразы, характерные для группировок LockBit, HardBit и Mimic. Однако у новой атаки отсутствует отдельный сайт с утечками данных, что ставит под сомнение её истинные цели — вымогательство или дезориентация.

Переход RedCurl от шпионажа к шифровке может говорить о стремлении группы диверсифицировать инструменты давления. Это делает её действия менее предсказуемыми и требует пересмотра подходов к защите от подобных угроз.