STAC6565 concentra 80% de sus ataques en Canadá mientras Gold Blade impulsa el despliegue del ransomware QWCrypt

Investigadores han identificado un patrón alarmante: STAC6565, un clúster de amenazas emergente, ha dirigido cerca del 80% de sus ataques contra organizaciones canadienses, enfocándose principalmente en sectores críticos como finanzas, energía e infraestructura operativa. Las campañas están siendo potenciadas por Gold Blade, un actor especializado en la distribución de malware que opera bajo un modelo similar a Malware-as-a-Service, facilitando el despliegue del ransomware QWCrypt.

Los atacantes han aprovechado vulnerabilidades en software desactualizado como vector de acceso inicial, una práctica que continúa generando riesgos significativos para organizaciones con ciclos de actualización lentos o dependencias heredadas.

QWCrypt: cifrado híbrido y capacidades avanzadas de evasión

El ransomware QWCrypt se distingue por su enfoque en cifrado híbrido, combinando:

• AES-256 para cifrado rápido de archivos,

• RSA-2048 para asegurar las claves de sesión y bloquear cualquier intento de recuperación sin pagar rescate.

Las notas de rescate incluyen amenazas de doble extorsión mediante la publicación de datos exfiltrados en sitios de filtración controlados por los actores. Además, QWCrypt incorpora:

• mecanismos anti-análisis para evadir sandboxes y entornos virtualizados,

• técnicas de ofuscación para retrasar la detección,

• persistencia mediante tareas programadas y artefactos en rutas sensibles del sistema.

Gold Blade refuerza estas capacidades al proporcionar loaders personalizados y servidores C2 alojados en infraestructura "bulletproof", diseñados para resistir derribos y mantener la disponibilidad operativa del ransomware.

Un ataque con foco geográfico: por qué Canadá es el objetivo principal

El predominio de objetivos canadienses revela un enfoque estratégico que combina espionaje económico, interrupción operativa y presión financiera sobre sectores críticos. Este cambio marca la expansión de Gold Blade, que hasta años previos operaba principalmente en campañas vinculadas a Asia y Europa del Este.

En 2025, la actividad se desplazó hacia Norteamérica, con reportes de:

• paros operativos en instituciones financieras,

• filtración de datos sensibles,

• interrupciones en procesos industriales en el sector energético,

• intentos de extorsión con criptomonedas tras la encriptación de sistemas.

El alto nivel de dependencia tecnológica en sectores regulados convierte a Canadá en un objetivo atractivo y rentable para estos grupos.

Recomendaciones para organizaciones canadienses y equipos de TI

Dada la agresividad de STAC6565 y el rol de Gold Blade como proveedor de infraestructura maliciosa, los especialistas recomiendan:

• aplicar parches de seguridad prioritarios en sistemas expuestos,

• segmentar redes críticas para limitar el movimiento lateral,

• desplegar soluciones EDR con detección especializada en ransomware,

• realizar simulacros de respuesta a incidentes con enfoque en doble extorsión,

• reforzar monitorización de dominios y patrones de tráfico asociados a servidores C2,

• coordinar acciones con organismos como el Centre canadien pour la cybersécurité para compartir inteligencia y acelerar la contención.

La concentración geográfica de ataques confirma que los actores de ransomware están perfeccionando estrategias regionales basadas en impacto y oportunidad. Para Canadá, la clave estará en elevar su resiliencia operativa y reducir las superficies explotables antes de que estas campañas continúen escalando.