RedCurl, un grupo de ciberespías con historial desde 2018 por realizar ataques silenciosos de espionaje corporativo, acaba de escalar sus tácticas. Lo que antes eran infiltraciones para robar documentos y datos confidenciales, ahora incluye el uso de un ransomware propio diseñado específicamente para cifrar servidores Hyper-V, una pieza clave en muchas infraestructuras empresariales que gestionan máquinas virtuales.
Ya se había detectado que RedCurl venía ampliando su alcance y aumentando la cantidad de organizaciones atacadas en distintas partes del mundo. Ahora, además del robo de información, están bloqueando por completo el acceso a sistemas críticos dentro de redes comprometidas. Este cambio representa una amenaza seria: afecta tanto la seguridad de los datos como la operatividad de las empresas.
En la mayoría de los casos, RedCurl sigue haciendo lo que ha hecho siempre: meterse en las redes, robar información y quedarse dentro el mayor tiempo posible sin ser detectados. Pero esta vez hubo algo diferente. En uno de los ataques, rompieron con su patrón habitual y, por primera vez, soltaron ransomware.
Hoy en día, muchas empresas están migrando sus servidores a entornos virtuales, y los grupos de ransomware no se están quedando atrás. Están adaptando sus ataques para apuntar directamente a estas plataformas de virtualización.
Mientras la mayoría de estos ataques suelen enfocarse en servidores VMware ESXi, RedCurl tomó otro camino. Su nuevo ransomware, llamado "QWCrypt", está diseñado específicamente para atacar máquinas virtuales que corren sobre Hyper-V.
¿Cómo funcionan los ataques con QWCrypt?
Los ataques de RedCurl arrancan con un clásico: correos de phishing. En este caso, envían archivos con extensión ".IMG" disfrazados como currículums (CV), buscando que alguien haga clic. Estos archivos IMG son imágenes de disco que, al abrirse en Windows, se montan automáticamente como si fueran una unidad nueva.
Dentro del archivo hay un salvapantallas (sí, un .scr) que en realidad es vulnerable. Se usa junto con un ejecutable legítimo de Adobe para colar una DLL maliciosa que descarga la carga útil principal y asegura que el malware siga activo usando una tarea programada.
Una vez dentro, RedCurl se mueve con sigilo usando herramientas que ya existen en el sistema, una técnica conocida como "living-off-the-land". Esto les ayuda a evitar ser detectados. Para moverse lateralmente entre dispositivos dentro de la red, usan una versión personalizada de wmiexec, lo que les permite operar sin levantar sospechas. También utilizan una herramienta llamada Chisel para crear túneles y obtener acceso remoto vía RDP.
Antes de lanzar el ransomware, los atacantes se encargan de desactivar defensas. Lo hacen usando archivos 7z cifrados y scripts de PowerShell en varias etapas para ir limpiando el camino.
Y aquí viene lo más llamativo: a diferencia de muchos ransomware para Windows, QWCrypt permite usar distintos comandos desde la línea de consola. Eso significa que pueden personalizar exactamente cómo van a atacar los entornos Hyper-V, lo que les da mucha más flexibilidad para adaptarse a cada víctima.
En los ataques que se han analizado, RedCurl demostró que sabe muy bien lo que hace. Usaron una opción llamada --excludeVM para evitar cifrar ciertas máquinas virtuales, especialmente las que funcionan como puertas de enlace de red. ¿Por qué? Para no interrumpir por completo el acceso y asegurarse de que el ataque pase desapercibido el mayor tiempo posible.
Cuando QWCrypt (el ejecutable se llama rbcw.exe) empieza a cifrar archivos, utiliza el algoritmo XChaCha20-Poly1305, uno bastante fuerte y moderno. Después, les cambia la extensión a los archivos cifrados, añadiendo .locked$ o .randombits$, dependiendo del caso.
El cifrador también es bastante flexible. Puede aplicar cifrado intermitente (saltándose ciertos bloques de datos) o elegir qué archivos cifrar según su tamaño. Esto acelera el proceso y reduce las probabilidades de que alguien detecte el ataque a tiempo.
La nota de rescate que deja se llama !!!how_to_unlock_randombits_files.txt$ y es una especie de copia y mezcla de otros grupos conocidos como LockBit, HardBit y Mimic. Es como si RedCurl hubiera tomado pedazos de varias notas de rescate y las hubiera combinado.
Lo curioso es que, a diferencia de muchos otros grupos, no tienen un sitio de filtración pública, lo cual deja la duda: ¿realmente están usando el ransomware como una forma de extorsión, o solo como distracción para encubrir otras intenciones?
Podría interesarte leer: Las Nuevas Bandas de Ransomware en 2025
¿Lo hacen por dinero, por molestar o por encargo?
Hay varias teorías sobre por qué RedCurl decidió meter ransomware en el mix de sus ataques. Una de las más fuertes es que el grupo actúa como mercenarios digitales, ofreciendo sus servicios a terceros. Eso explicaría por qué combinan espionaje con extorsión: depende del cliente, el objetivo y cuánto esté dispuesto a pagar.
En algunos casos, usar ransomware podría ser simplemente una forma de presionar cuando no les pagan por el trabajo principal (como robar datos), o incluso una forma de distraer la atención mientras se llevan lo importante sin que nadie lo note.
Otra posibilidad es que RedCurl haya decidido meterse de lleno en el negocio del ransomware, pero de manera más discreta que otros grupos. En lugar de hacer escándalo con sitios de filtración y demandas públicas, prefieren negociaciones privadas y silenciosas, sin dejar rastros tan evidentes.
Lo que está claro es que este giro en su forma de operar marca un cambio importante en su estrategia. Ya no se trata solo de espiar en silencio. Ahora también pueden paralizar sistemas y pedir rescates, lo que deja muchas preguntas abiertas sobre qué buscan realmente y hacia dónde van con todo esto.
Conclusión y recomendaciones
El uso de ransomware por parte de RedCurl es una señal clara de que el grupo está cambiando las reglas del juego. Pasaron de hacer espionaje en silencio a lanzar ataques mucho más agresivos, como el cifrado de servidores virtuales. Esto deja muchas preguntas en el aire: ¿lo hacen por dinero?, ¿por encargo?, ¿para encubrir otras cosas? Lo único seguro es que sus ataques son cada vez más específicos, bien planeados y efectivos.
Si bien este tipo de amenazas puede sonar abrumador, hay varias cosas que las empresas pueden hacer para reducir el riesgo de ser víctimas. Acá te dejamos algunas recomendaciones prácticas que valen la pena tener en cuenta:
1. Apuesta por una seguridad en capas
No te quedes con una sola herramienta de protección. Lo ideal es tener varias capas de seguridad que se complementen entre sí: segmentación de red, protección de endpoints, firewalls, control de accesos, etc. Así, si una capa falla, las demás siguen cubriéndote.
2. Mejora tu capacidad de detección y respuesta
Incluso con buena seguridad, es posible que una amenaza se cuele. Por eso es clave tener sistemas que detecten actividad sospechosa y respondan rápido. Ya sea que uses soluciones como EDR/XDR o un servicio gestionado (MDR), el objetivo es acortar el tiempo que los atacantes pueden moverse sin ser detectados. Usa análisis de comportamiento y detección de anomalías para identificar cosas raras, como túneles creados con herramientas tipo Chisel o ejecuciones remotas con wmiexec.
3. Cuida los ataques que usan herramientas del sistema
Muchos atacantes hoy en día no usan malware tradicional, sino herramientas legítimas que ya están en el sistema (lo que se conoce como ataques Living-off-the-Land o LOTL). Para evitar esto:
-
Limita qué scripts y binarios pueden ejecutarse.
-
Refuerza entornos como PowerShell con políticas de ejecución y buen registro de actividad.
-
Supervisa procesos extraños y argumentos raros en la línea de comandos.
-
Aplica el principio de mínimos privilegios: cada usuario solo debería tener acceso a lo que necesita, nada más.
4. Protege bien tus datos y copias de seguridad
Tener backups es básico, pero no cualquier backup sirve. Asegúrate de que sean:
-
Inmutables (que no puedan modificarse).
-
Aislados de la red principal.
-
Probados regularmente para confirmar que realmente se pueden restaurar.
Muchos ransomware, como QWCrypt, van directo a borrar las copias de seguridad, sobre todo aquellas basadas en volúmenes de sombra. Por eso, es clave que tu solución de backup tenga medidas avanzadas contra este tipo de ataques. Además, cifra tus datos más importantes tanto en reposo como en tránsito para reducir el riesgo de exposición, incluso si los atacantes logran robarlos.
Una opción sólida para esto es TecnetProtect, una solución de ciberseguridad y backup que ya incluye estas buenas prácticas. Ofrece copias de seguridad inmutables, cifrado de extremo a extremo, aislamiento del entorno de producción y herramientas avanzadas de recuperación ante desastres. Todo pensado para mantener tus datos protegidos incluso frente a ataques sofisticados como los de RedCurl.
5. Usa inteligencia de amenazas
Contar con buena información te da ventaja. Las soluciones de inteligencia de amenazas ayudan a entender cómo operan grupos como RedCurl y qué tácticas están usando. Eso te permite anticiparte y preparar defensas más efectivas.
Conclusión
RedCurl ya no es solo un grupo que espía: ahora también cifra, extorsiona y se mueve con mucha astucia. Si algo nos deja claro su evolución es que las tácticas cambian, y las empresas deben estar listas para adaptarse. Seguir estas recomendaciones puede marcar la diferencia entre detectar un ataque a tiempo o sufrir una interrupción costosa.
