کمیته رکن چهارم – گروهی از مهاجمان سایبری با نام STAC6565 که به Gold Blade نیز شناخته میشوند، از فوریه ۲۰۲۴ تا آگوست ۲۰۲۵، دستکم ۴۰ حمله هدفمند انجام دادهاند که نزدیک به ۸۰٪ آنها سازمانهای کانادایی را هدف گرفته است.
به گزارش کمیته رکن چهارم، این گروه در ابتدا تمرکز خود را بر جاسوسی تجاری گذاشته بود، اما در سالهای اخیر از ترکیب جاسوسی و باجگیری با استفاده از باجافزار اختصاصی QWCrypt استفاده میکند. این باجافزار با رمزگذاری کامل فایلها، حتی در محیطهای مجازی، و پاکسازی ردپاها، اطلاعات قربانی را قفل میکند.
حملات این گروه معمولاً با ارسال رزومههای جعلی از طریق پلتفرمهای استخدامی معروف آغاز میشود. فایلهای آلوده شامل میانبرهایی هستند که پس از اجرا، فایلهای مخرب را از طریق سرویسهای ابری دانلود کرده و سیستم قربانی را آلوده میکنند. سپس ابزارهایی مانند RedLoader برای شناسایی سیستم و جمعآوری اطلاعات استفاده میشوند.
در برخی موارد، مهاجمان تا چند روز پس از سرقت اطلاعات صبر میکنند تا در صورت ناکامی در اخاذی، رمزگذاری فایلها را آغاز کنند. ابزار Terminator نیز برای خاموش کردن آنتیویروسها با استفاده از درایورهای آسیبپذیر استفاده شده است.
تحلیل شرکت Sophos نشان میدهد که این گروه با دقت، ابزارهای سفارشی و برنامهریزی دقیق عمل میکند. روند حملات نیز بهصورت موجی و در بازههای زمانی غیرمنتظم انجام میشود.
همچنین دادهها حاکی از افزایش تمرکز این گروه بر حمله مستقیم به Hypervisorها مانند ESXi است، بهگونهای که در نیمه دوم ۲۰۲۵، بیش از ۲۵٪ حملات آنها این هدف را دنبال کردهاند.
برای مقابله با این تهدیدها، استفاده از حسابهای محلی، فعالسازی احراز هویت چندمرحلهای، ایزولهسازی شبکه مدیریتی، و محدودسازی دسترسیها در محیطهای مجازی مانند ESXi بهشدت توصیه میشود. گزارشها نشان میدهد که حملات Gold Blade فقط محدود به کانادا نیست و برخی سازمانها در آمریکا، استرالیا و بریتانیا نیز تحت تأثیر قرار گرفتهاند.
