Portali di Reclutamento Fuori Controllo: Svelata la Campagna di Ransomware di GOLD BLADE in Canada

Quando un responsabile delle risorse umane canadese scarica un curriculum da un portale di lavoro affidabile, l’ultima cosa che si aspetta è di scatenare un attacco ransomware. Eppure, dall’inizio del 2024, un gruppo criminale informatico sfuggente noto come GOLD BLADE ha trasformato le piattaforme di reclutamento in rampe di lancio segrete per una serie di furti di dati mirati ed estorsioni, lasciando dietro di sé una scia di file criptati e interrogativi senza risposta.

La Trappola della Candidatura

GOLD BLADE, precedentemente noto come RedCurl e RedWolf, si è evoluto dall’essere un gruppo di spionaggio classico a una vera e propria operazione criminale ibrida. La loro ultima campagna, nome in codice STAC6565, segna una svolta radicale: invece di colpire indiscriminatamente, ora prendono di mira aziende canadesi con precisione chirurgica. L’arma scelta dal gruppo? Curriculum in PDF dall’aspetto innocuo, caricati direttamente su piattaforme di reclutamento di fiducia per i reparti HR di tutto il paese.

A differenza delle comuni email di phishing, questi curriculum malevoli bypassano i filtri antispam e finiscono direttamente nelle mani del personale delle risorse umane. Una volta aperti, innescano una catena di attacco a più stadi, installando silenziosamente il malware RedLoader di GOLD BLADE. Questo metodo di infezione sofisticato è stato costantemente perfezionato - sfruttando tutto, dall’infrastruttura cloud a landing page LinkedIn fasulle, adattando le tattiche a ogni nuova ondata di attacchi.

Dallo Spionaggio all’Estorsione

Entro la metà del 2025, il gruppo ha intensificato le proprie tattiche, distribuendo selettivamente il ransomware su misura QWCrypt. Il malware non solo cripta i dati aziendali, ma cancella anche le tracce forensi e disabilita le difese di sicurezza di Windows a livello di kernel. Ogni attacco è personalizzato, con identificativi specifici della vittima e script automatizzati per propagarsi in rete, spesso tramite protocolli di condivisione file affidabili.

La competenza tecnica di GOLD BLADE è pari alla loro disciplina operativa. Sfruttano strumenti di sistema legittimi, abusano di driver vulnerabili in attacchi BYOVD (Bring Your Own Vulnerable Driver) e monitorano meticolosamente le distribuzioni per massimizzare l’impatto. Tuttavia, occasionali sviste - come lasciare percorsi di sviluppo all’interno del malware compilato - offrono rari scorci sul loro toolkit in evoluzione e sui flussi di lavoro interni.

Difendersi dalla Minaccia Invisibile

Questa campagna mette in luce una realtà inquietante: i cybercriminali moderni stanno trasformando i processi aziendali quotidiani in vettori d’attacco. Per le organizzazioni, le difese tradizionali non sono più sufficienti. Gli esperti raccomandano visualizzatori di documenti sicuri per i team HR, formazione regolare dei dipendenti sulle minacce veicolate dai curriculum, mantenimento di backup offline e l’implementazione di soluzioni avanzate di rilevamento degli endpoint.