g1039-redcurl - RunkIntel

# RedCurl > [!danger] RedCurl - Espionagem Corporativa Silenciosa com Pivô para Ransomware (2025) > RedCurl (Earth Kapre, Red Wolf) é um ator de espionagem corporativa ativo desde 2018, identificado pela Group-IB e rastreado pela Trend Micro. O grupo é especializado em infiltração furtiva de redes corporativas para roubo de dados sigilosos - propriedade intelectual, contratos, dados de RH, informações financeiras - usando técnicas **Living off the Land (LOTL)** quase exclusivamente, sem dropar ferramentas personalizadas até estágios avançados da operação. Em março de 2025, o grupo surpreendeu a comunidade de segurança ao implantar o **QWCrypt**, um ransomware que criptografa exclusivamente hipervisores VMware ESXi - marcando uma pivotagem estratégica sem precedentes de espionagem para extorsão. ## Visão Geral **RedCurl** (rastreado pela Group-IB como RedCurl, pela Trend Micro como Earth Kapre e pela F-Secure como Red Wolf) é um grupo de língua russa ativo desde pelo menos maio de 2018. Em mais de 6 anos de operações documentadas, o grupo acumulou pelo menos **40 ataques confirmados** contra organizações em 10+ países, com foco em espionagem corporativa de alto valor. **Diferencial operacional do grupo:** - **Quase zero malware customizado**: a maioria das operações usa apenas ferramentas nativas Windows (cmd, PowerShell, wscript, pcalua.exe) e storage cloud como C2 - **DLL sideloading via ISO/IMG**: phishing entrega imagens de disco com executável legítimo e DLL maliciosa adjacente - `ADNotificationManager.exe` carrega `MSVCR100.dll` (RedCurl backdoor) - **pcalua.exe como LOLBIN**: abuso do Program Compatibility Assistant para execução de payloads sem suspeitas - **C2 via cloud storage**: uso de SharePoint, OneDrive e outros serviços cloud como canal C2 encoberto - **Longos tempos de permanência**: campanhas típicas duram 2-6 meses com exfiltração gradual - **Pivô 2025**: implantação de QWCrypt ransomware em hipervisores ESXi - primeira vez que o grupo usa capacidade destrutiva O grupo demonstrou sofisticação incomum ao **evitar endpoints** e focar em servidores de arquivo, email corporativo e compartilhamentos de rede para coleta de inteligência. O perfil de alvos abrange seguros, imobiliário, jurídico, tecnologia e finanças - setores com alta concentração de dados sensíveis. ```mermaid graph TB A["Acesso Inicial ISO/IMG com LNK T1566.001 - spearphishing"] --> B["Execução Inicial ADNotificationManager.exe T1574 - DLL sideloading"] B --> C["Persistência LOTL pcalua.exe agendado T1053.005 - Scheduled Task"] C --> D["Reconhecimento Interno Dir listing, SMTP collect T1083 + T1114.001"] D --> E["Coleta de Dados Network shares, email boxes T1039 + T1119 automatizado"] E --> F["Exfiltração Encoberta Cloud storage C2 T1102 + T1573.001 criptografado"] F --> G["Cleanup Forense Remoção de artefatos T1070 - file deletion"] style A fill:#1a5276,color:#fff style B fill:#922b21,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2980b9,color:#fff style E fill:#16a085,color:#fff style F fill:#196f3d,color:#fff style G fill:#c0392b,color:#fff ``` ## Campanhas Documentadas ### QWCrypt ESXi Ransomware Campaign (Março 2025) Em março de 2025, a Bitdefender identificou o RedCurl implantando o **QWCrypt** - um ransomware inédito que criptografa exclusivamente discos de máquinas virtuais em hipervisores VMware ESXi, poupando propositalmente o hipervisor host para manter comunicação de resgaté: **Características do QWCrypt:** - Criptografia de VMs VMware ESXi via chamadas nativas de hipervisor - Extensão `.locked` adicionada a discos virtuais criptografados - Host ESXi preservado - apenas VMs são cifradas - Nota de resgaté em cada VM criptografada - Sem site de vazamento público - negociação via email privado **Implicações estratégicas**: o pivô para ransomware indica possível mudança de modelo de negócio do grupo, ou campanhas paralelas onde espionagem precede extorsão para maximizar impacto financeiro. ### Campanha de Espionagem Corporativa 2018-2024 Ataques documentados em múltiplos setores e regiões: - **2018-2019**: Primeiros ataques na Rússia e Ucrânia - seguradoras e construtoras - **2020**: Expansão para Reino Unido, Alemanha e Canadá - tecnologia e jurídico - **2021**: Ataques nos EUA - seguros e imobiliário - **2022-2023**: Australia e Noruega adicionadas - energia e varejo - **2024**: Campanhas ativas na América do Norte e Europa - phishing com ISO/IMG refinado **Método padrão de spear-phishing:** 1. Email com arquivo ZIP ou IMG/ISO como anexo 2. ISO montada expõe pasta com atalho LNK e executável legítimo + DLL maliciosa 3. LNK executa `ADNotificationManager.exe` que carrega `MSVCR100.dll` (backdoor) 4. Backdoor usa cloud storage como C2; opera exclusivamente em memória quando possível ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[qwcrypt\|QWCrypt]] | Ransomware ESXi | Criptografia de VMs VMware ESXi - extensao .locked | | [[redcurl-simpleshell\|RedCurl.SimpleShell]] | Backdoor | Implante leve em Python/PowerShell para acesso remoto | | ADNotificationManager.exe | LOLBIN (DLL sideload) | Executavel legítimo usado para carregar DLL maliciosa via T1574 | | pcalua.exe | LOLBIN | Program Compatibility Assistant - executa payloads via agendamento | | [[redcurl-ransomware\|RedCurl.Ransomware]] | Ransomware (2025) | Payload para ESXi - implantado pos-espionagem | | wscript/cscript | LOLBIN nativo | Execução de VBScript para automacao de coleta | | SharePoint/OneDrive | C2 encoberto | Exfiltração e comandos via servicos cloud legítimos | ## TTPs Mapeados | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | ISO/IMG com DLL sideload via ADNotificationManager | | Execution | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Usuario abre LNK que aciona DLL sideloading | | Defense Evasion | Obfuscation | [[t1027-obfuscated-files-or-information\|T1027]] | Payloads ofuscados e renomeados como arquivos legítimos | | Defense Evasion | Masquerade Name | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | DLL renomeada como MSVCR100.dll (Microsoft VC runtime) | | Collection | Local Email | [[t1114-001-local-email-collection\|T1114.001]] | Copia de emails PST/OST para exfiltração | | Collection | Network Shares | [[t1039-data-from-network-shared-drive\|T1039]] | Mapeamento e copia de compartilhamentos de rede corporativos | | Collection | Automated Collection | [[t1119-automated-collection\|T1119]] | Scripts de coleta automatizada em diretorios definidos | | C2 | Web Service | [[t1102-web-service\|T1102]] | SharePoint/OneDrive como canal C2 encoberto | | Exfiltration | Symmetric Crypto | [[t1573-001-symmetric-cryptography\|T1573.001]] | Dados exfiltrados criptografados antes da transmissao | ## Timeline ```mermaid timeline title RedCurl - Linha do Tempo 2018 : Primeiros ataques documentados : Russia e Ucraina - seguros e construcao 2020 : Expansao para Europa Ocidental : Reino Unido, Alemanha, Canada 2021 : Group-IB publica primeiro relatorio : 14 organizacoes comprometidas confirmadas 2022 : Expansao para EUA e Australia : Tecnologia e juridico como novos alvos 2023-2024 : Refinamento de TTPs : ISO/IMG + ADNotificationManager padrao : Trend Micro: Earth Kapre alias 2025-03 : QWCrypt descoberto - ESXi ransomware : Bitdefender documenta pivô historico 2025+ : Operacoes continuas - espionagem + ransomware ``` ## Relevância para o Brasil e LATAM > [!warning] Risco Moderado-Alto - Setores Financeiro, Jurídico e Imobiliário > RedCurl representa ameaça crescente para organizações brasileiras de médio e grande porte nos setores de seguros, jurídico, imobiliário, tecnologia e finanças - perfil exato do grupo. O pivô para QWCrypt ransomware em 2025 elevou significativamente o risco, pois empresas brasileiras com ambientes VMware ESXi agora estão no escopo potencial do grupo. **Cenários de risco para o Brasil:** - **Escritórios de advocacia e consultorias**: perfil de alvo histórico - contratos, propriedade intelectual, dados M&A - **Seguradoras (BB Seguridade, SulAmérica, Porto Seguro)**: alvo recorrente com dados sensíveis de clientes - **Imobiliárias e construtoras**: dados financeiros, contratos, projetos - perfil de alvo documentado - **Data centers e MSPs**: infraestrutura VMware ESXi exposta ao QWCrypt **Vetor de entrada principal**: phishing com arquivos ISO/IMG contendo DLL sideload - bypass de filtros de email que bloqueiam EXE/macros mas permitem arquivos de imagem de disco. Defesas devem incluir bloqueio de montagem automática de ISO em endpoints. ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | Processo `ADNotificationManager.exe` fora de `C:\Program Files\` | EDR: alerta para executavel legítimo em path incomum | | `pcalua.exe` executando scripts PowerShell ou cmd | EDR: monitoramento de LOLBIN com argumentos incomuns | | Montagem automatica de arquivo ISO/IMG em endpoint | GPO: desabilitar montagem automatica (AutoRun) de imagens | | Upload de grandes arquivos para SharePoint/OneDrive de servidor | DLP: alerta para exfiltração de dados corporativos via cloud storage | | Acesso a múltiplas PST/OST de usuario diferente do owner | SIEM: alertas de acesso anomalo a mailbox files | | Scripts VBScript executando dir listing em compartilhamentos | EDR: monitoramento de wscript/cscript com parametros de rede | ## Referências - [1](https://attack.mitre.org/groups/G1039/) MITRE ATT&CK - G1039 RedCurl (2024) - [2](https://www.group-ib.com/blog/red-curl/) Group-IB - RedCurl: Corporaté Espionage APT (Jul 2021) - [3](https://www.bitdefender.com/blog/labs/redcurl-the-pentest-you-didnt-ask-for/) Bitdefender - RedCurl: The Pentest You Didn't Ask For (2022) - [4](https://www.bitdefender.com/blog/labs/redcurl-ransomware-qwcrypt-esxi/) Bitdefender - RedCurl Deploys QWCrypt Ransomware Against ESXi (Mar 2025) - [5](https://www.trendmicro.com/en_us/research/24/earth-kapre-redcurl.html) Trend Micro - Earth Kapre (RedCurl) 2024 Campaigns Analysis (2024) - [6](https://f-secure.com/blog/red-wolf-redcurl-corporate-espionage) F-Secure - Red Wolf: The Quiet Corporaté Spy (2022) **Atores relacionados:** [[g0010-turla|Turla]] · [[g0016-apt29|Cozy Bear]] (similar perfil LOTL e espionagem corporativa) **Malware e ferramentas:** [[qwcrypt|QWCrypt]] · [[redcurl-simpleshell|RedCurl.SimpleShell]] **TTPs principais:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1102-web-service|T1102]] · [[t1039-data-from-network-shared-drive|T1039]] · [[t1114-001-local-email-collection|T1114.001]] **Setores alvejados:** [[technology|Tecnologia]] · [[financial|Financeiro]] · [[insurance|Seguros]] · [[legal|Juridico]]