RedCurl passa al ransomware: scoperto il primo attacco con QWCrypt

Mar 28, 2025 Stefano Silvestri Hacking, In evidenza, Malware, Minacce, News, Phishing, Tecnologia, Vulnerabilità 0

RedCurl, gruppo hacker russo attivo almeno dal 2018 e noto per le sue operazioni di spionaggio industriale, ha compiuto una svolta significativa nel proprio modus operandi.

Per la prima volta, infatti, è stato collegato a una campagna ransomware, segnando un cambio di passo che potrebbe indicare una nuova strategia del collettivo.

A lanciare l’allarme è Bitdefender, che ha rilevato l’uso di un nuovo ransomware mai osservato prima, denominato QWCrypt.

L’infezione scoperta è il risultato di una catena di attacco complessa, fondata su tecniche consolidate di ingegneria sociale e sul caricamento occulto di codice malevolo tramite strumenti legittimi.

Una catena d’infezione a più stadi

Il vettore iniziale dell’attacco è rappresentato da file immagine ISO mascherati da curriculum vitae, diffusi attraverso campagne di phishing.

All’interno del file ISO si nasconde un eseguibile Adobe legittimo, “ADNotificationManager.exe”, accompagnato da una DLL malevola (“netutils.dll”), che viene caricata attraverso la tecnica del DLL side-loading.

Per la prima volta RedCurl viene collegato a una campagna ransomware, il che potrebbe indicare una nuova strategia del collettivo.

Dopo l’esecuzione, viene aperta una pagina di login reale di Indeed, una piattaforma online per la ricerca di lavoro. Questa tecnica è usata come diversivo per distrarre la vittima e lasciare agire il malware in background.

La DLL malevola netutils.dll in pratica funge da loader: il suo compito è scaricare una backdoor che consente all’attaccante di controllare da remoto il sistema compromesso.

Per mantenere la persistenza nel sistema, e quindi per ‘sopravvivere’ a un riavvio del computer o alla chiusura forzata dei processi, la DLL crea una scheduled task, ossia un’attività pianificata che forza l’esecuzione automatica del malware a intervalli regolari o all’avvio del sistema operativo.

Infine, per eseguire il payload finale e continuare a evitare il rilevamento da parte dei software di sicurezza, RedCurl sfrutta il Program Compatibility Assistant di Windows (pcalua.exe).

Questo componente, del tutto legittimo, viene utilizzato per lanciare il malware mascherandolo da processo di sistema, in una tecnica nota come LOLBins (Living Off the Land Binaries), che sfrutta strumenti nativi del sistema operativo per scopi malevoli.

L’impianto appena descritto consente movimenti laterali all’interno della rete, raccolta di informazioni e progressiva escalation dei privilegi.

Obiettivo: le infrastrutture virtualizzate

La novità più rilevante, dicevamo, è che una delle operazioni condotte da RedCurl ha portato per la prima volta al rilascio di ransomware.

L’obiettivo però non sono i classici endpoint ma le macchine virtuali ospitate sugli hypervisor, ossia i software che permettono di crearle e gestirle sugli hardware fisici. RedCurl le rende inaccessibili tramite cifratura, compromettendo così tutti i servizi erogati.

È a BitDefender che si deve la rilevazione del nuovo ransomware usato da RedCurl, denominato QWCrypt.

“Questo tipo di attacco mirato può essere interpretato come un tentativo di causare il massimo danno con il minimo sforzo”, ha dichiarato Martin Zugec, direttore delle soluzioni tecniche di Bitdefender. “Criptando le macchine virtuali e rendendole non avviabili, RedCurl disabilita di fatto l’intera infrastruttura virtualizzata”.

Il ransomware esegue una ricognizione del sistema prima di attivare la cifratura e utilizza la tecnica nota come bring your own vulnerable driver (BYOVD) per disattivare i software di protezione degli endpoint.

La nota di riscatto lasciata dopo l’attacco sembra ispirata a quelle già viste nei ransomware LockBit, HardBit e Mimic, ma resta incerta la reale finalità dell’estorsione.

Un’evoluzione che apre interrogativi

L’emergere di QWCrypt e la sua attribuzione a RedCurl rappresentano un possibile segnale di ridefinizione degli obiettivi da parte del gruppo.

Storicamente impegnato in campagne di spionaggio mirate a raccogliere informazioni sensibili per conto terzi, RedCurl sembra ora esplorare anche la via del danno diretto e dell’estorsione.

Secondo MarinZugec, il riutilizzo di frammenti testuali da altre campagne ransomware “solleva interrogativi sull’origine e sulle reali motivazioni del gruppo RedCurl”.

Inoltre, l’assenza di un sito di leak o di elementi riconducibili a estorsioni pubbliche suggerisce che la componente ransomware possa essere, almeno in parte, una distrazione tattica.

Resta da capire se si tratti di un’eccezione o dell’inizio di una nuova fase operativa, in cui gruppi tradizionalmente legati all’information gathering si spostano verso modelli di attacco più distruttivi e redditizi.

Condividi l'articolo