Cibercriminales están subiendo hojas de vida maliciosas a portales de empleo: así opera la nueva táctica de GOLD BLADE.
Un reclutador abre una hoja de vida que llegó desde un portal de empleo y, sin saberlo, activa una cadena de infección que permitirá robar datos, tomar control del sistema y lanzar un ataque de ransomware. Ese es el escenario que plantea la nueva investigación de Sophos, líder global en soluciones innovadoras de ciberseguridad para combatir ciberataques, sobre GOLD BLADE, un grupo criminal que ha evolucionado de manera acelerada y que ahora utiliza métodos más silenciosos y difíciles de detectar para infiltrarse en organizaciones.
En su análisis, Sophos detalla cómo este actor de amenazas avanzadas ha perfeccionado su operación mediante una combinación de espionaje, robo de información y ataques de ransomware con un cifrador propio. Pero lo que más llama la atención es la forma en que están iniciando sus campañas: subiendo currículums infectados directamente a plataformas de reclutamiento de gran uso en el mundo corporativo.
Una evolución estratégica que preocupa
Según la empresa de ciberseguridad GOLD BLADE, ha pasado de tácticas tradicionales basadas en phishing a una estrategia mucho más afinada y tecnológica. El grupo mantiene en paralelo tres grandes objetivos:
- Robar datos con un alto valor comercial o estratégico,
- Ejecutar maniobras de espionaje con persistencia extendida, y
- Desplegar ransomware propio para extorsionar, usando un “locker” exclusivo llamado QWCrypt, que no se relaciona con ninguna familia de ransomware conocida.
El hallazgo más llamativo del reporte es la nueva táctica del grupo: la carga de documentos maliciosos directamente a portales de empleo como parte de supuestas aplicaciones laborales.
Este método es especialmente peligroso porque rompe un patrón que las empresas creen tener controlado. Durante años, la mayoría de las amenazas se enviaban por correo electrónico, lo cual permitía aplicar filtros, sistemas de protección y protocolos de verificación. Pero cuando un reclutador descarga un documento directamente desde un portal confiable, la percepción de riesgo es mínima. Justamente ese es el punto que explota GOLD BLADE.
Una vez que la víctima abre el archivo, inicia una cadena de ejecución que puede incluir descarga de payloads, creación de backdoors, ejecución de herramientas del sistema operativo para evadir detección y, en últimas, el movimiento lateral dentro de la red.
Sophos indica en su análisis que la actividad más reciente, aproximadamente el 80% de los ataques de GOLD BLADE se dirigieron a organizaciones en Canadá y otros a compañías de Estados Unidos. Y aunque América Latina no aparece en los registros de ataques actuales, el modo de operación del grupo, basado en la explotación de infraestructura digital ampliamente utilizada, hace que cualquier región pueda convertirse en su próximo objetivo.
La advertencia es clara: el enemigo ya no envía un correo sospechoso. Se postula como candidato a un puesto de trabajo. Y mientras las organizaciones sigan descargando documentos sin mecanismos de análisis previo, los atacantes tendrán un camino abierto para evolucionar sus campañas.
