RedCurl

APT / EstatalG1039
OrigenRússia
Técnicas (MITRE ATT&CK)41
FuenteMITRE ATT&CK

Análisis Vexday

RedCurl é um grupo APT de origem russa, ativo desde 2018 e identificado no MITRE ATT&CK como G1039, com 41 técnicas documentadas. O grupo é notório por operações de espionagem corporativa direcionadas a diferentes países — incluindo Ucrânia, Canadá e Reino Unido — e a setores variados, como agências de viagem, seguradoras e bancos. As operações geralmente se iniciam com e-mails de spearphishing para obter acesso inicial, seguidos pela execução de comandos e scripts de descoberta e coleta de dados corporativos, encerrando-se com a exfiltração de arquivos para servidores de comando e controle (C2).

Técnicas (MITRE ATT&CK) 41

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Preparación de recursos
Malware
Acceso inicial
Trusted RelationshipSpearphishing AttachmentSpearphishing Link
Ejecución
Scheduled TaskPowerShellWindows Command ShellVisual BasicPythonMalicious LinkMalicious File
Persistencia
Registry Run Keys / Startup Folder
Acceso a credenciales
LSASS MemoryCredentials In FilesCredentials in RegistryCredentials from Web Browsers
Descubrimiento
Network Service DiscoverySystem Information DiscoveryFile and Directory DiscoveryLocal AccountDomain AccountEmail Account
Movimiento lateral
Taint Shared Content
Recolección
Data from Local SystemData from Network Shared DriveGUI Input CaptureLocal Email CollectionAutomated CollectionArchive via Utility
Comando y control
Web ProtocolsWeb ServiceSymmetric CryptographyAsymmetric Cryptography
Exfiltración
Automated ExfiltrationTransfer Data to Cloud Account
stealth
Obfuscated Files or InformationMatch Legitimate Resource Name or LocationFile DeletionIndirect Command ExecutionRundll32Hidden Files and Directories

Vulnerabilidades explotadas

Ninguna CVE atribuida a este grupo en las fuentes públicas (MITRE ATT&CK). La ausencia de atribución no significa ausencia de actividad.

El grupo RedCurl usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →