一个企业网络间谍黑客组织在消失了7个月后重新浮出水面，今年它针对4家公司进行新入侵行动，其中包括俄罗斯最大的批发商店之一，同时对其工具集进行了战术性改进，以试图阻挠分析。

Group-IB 的伊万 · 皮萨列夫说: “在每一次攻击中，攻击者都展示了广泛的红队技能，以及利用自己定制的恶意软件绕过传统防病毒检测的能力。”

至少从2018年11月起，这个讲俄语的黑客组织 RedCurl 开始活跃，至今已经已参与30起攻击，行动是针对14个组织的企业网络间谍和文件盗窃，这些企业涉及建筑、金融、咨询、零售、保险和法律行业，分布在英国、德国、加拿大、挪威、俄罗斯和乌克兰等地区。

攻击者使用一系列成熟的黑客工具潜入目标，窃取内部公司文件，如员工记录、法庭和法律文件，以及企业电子邮件历史。

RedCurl 的运作方式标志着它与其他对手的不同，尤其体现在它不部署后门，也不依赖 CobaltStrike 和 Meterpreter 等开发后工具，这两种工具都被视为远程控制受损设备的典型方法。更重要的是，尽管该组织保持着稳固的访问权限，但没有人发现到该组织实施了以经济利益为动机的攻击，包括加密受害者的基础设施，或者要求对被盗数据进行赎金。

相反，它的重点似乎是尽可能秘密地获取有价值的信息，使用自行开发和公开的程序，利用社会工程手段获得初步访问权，执行侦察，实现持久性，横向移动，以及过滤敏感文件。

研究人员说，“网络空间的间谍活动是国家支持的高级持续性威胁的一个特点。”“在大多数情况下，此类攻击针对的是其它国家或国有企业。企业网络间谍活动仍然相对罕见，而且在许多方面都是独一无二的。然而，该组织的成功可能会诱发网络犯罪的新趋势。”

（来源：Hackernews）