A RedCurl, um grupo de espionagem cibernética conhecido por suas operações corporativas de coleta de dados, fez uma mudança significativa em sua estratégia, agora adotando o uso de ransomware em seus ataques. Anteriormente, o grupo se concentrava em obter informações confidenciais de empresas de diversos países, incluindo Canadá, Alemanha, Reino Unido e EUA. No entanto, em 2025, a gangue passou a utilizar ransomware, o que aumenta consideravelmente a gravidade e os riscos associados aos seus ataques.
Leia também
Dinamarca alerta para espionagem nas telecoms
Jailbreak funciona na maioria dos modelos de IA
O primeiro ataque registrado com ransomware foi relatado pela Bitdefender e envolveu o uso de um malware desconhecido, o QWCrypt, que foi distribuído via imagens ISO disfarçadas de currículos falsos. Essas imagens continham um executável malicioso, o “ADNotificationManager.exe”, que, ao ser aberto, carregava uma biblioteca maliciosa chamada “netutils.dll”. Essa técnica permitia que o malware se camuflasse como um documento normal, enquanto na realidade infectava o sistema da vítima.
Uma vez instalado, o malware agia como um downloader, buscando novas bibliotecas maliciosas e criando tarefas para garantir sua persistência no sistema. Além disso, ele utilizava técnicas como “DLL Sideloading” e “pcalua.exe” para propagar e obter acesso remoto, movendo-se pela rede da vítima, coletando informações e obtendo maior controle sobre o sistema.
A grande mudança foi o uso do ransomware, que foi empregado para criptografar máquinas virtuais em servidores hospedados, paralisando os serviços da empresa. O ransomware desativava soluções de segurança no endpoint usando a técnica BYOVD (Bring Your Own Vulnerable Driver), e as mensagens de resgate continham frases típicas de outros grupos conhecidos, como LockBit e Mimic. No entanto, ao contrário de outros ataques, não houve um site dedicado para o vazamento de dados, gerando dúvidas sobre o real objetivo da RedCurl: extorsão ou confusão.
Essa mudança na estratégia da RedCurl sugere que o grupo está buscando diversificar suas táticas, combinando espionagem e extorsão, o que torna suas operações mais difíceis de prever e mais perigosas para as empresas. A situação exige uma revisão das abordagens de segurança para lidar com esse tipo de ameaça, que combina técnicas de espionagem com os danos causados pelo ransomware.
