• Jakarta - Indonesia
  • September 3, 2025

Serangan remote DLL sideloading GOLD BLADE menyebarkan RedLoader

Serangan melonjak pada Juli 2025 setelah kelompok ancaman memperbarui proses mereka dengan menggabungkan file LNK berbahaya dan teknik WebDAV daur ulang

Analis Sophos sedang menyelidiki rantai infeksi baru dari malware RedLoader buatan kelompok kriminal siber GOLD BLADE, yang memulai komunikasi command and control (C2). Pelaku ancaman memanfaatkan file LNK untuk menjalankan dan melakukan sideload terhadap executable yang tampak sah, yang kemudian memuat payload RedLoader tahap 1 yang di-host di infrastruktur GOLD BLADE.

Sebelumnya, pelaku telah menggunakan teknik ini secara terpisah:

  • Penggunaan WebDAV untuk mengeksekusi DLL yang di-host secara jarak jauh telah diamati pada September 2024
  • Sideloading file ADNotificationManager.exe yang telah diubah nama diamati pada Maret 2025

Namun, kombinasi teknik yang terlihat pada Juli 2025 ini merupakan metode eksekusi awal yang belum pernah dilaporkan secara publik.

Rantai Eksekusi

Gambar 1 menggambarkan rantai eksekusi. Serangan dimulai saat pelaku ancaman mengirim PDF surat lamaran palsu ke target melalui situs lowongan kerja pihak ketiga seperti indeed.com.

Gambar 1: Rantai eksekusi RedLoader yang diamati

  1. Tautan berbahaya dalam PDF mengunduh arsip ZIP ke sistem korban. Arsip ini berisi file LNK yang menyamar sebagai PDF.
  2. File LNK mengeksekusi conhost.exe.
  3. Eksekusi ini menggunakan WebDAV untuk menghubungi domain CloudFlare: automatinghrservices[.]workers[.]dev.
  4. File executable Adobe yang telah diubah nama (ADNotificationManager.exe) menyamar sebagai CV dan di-host dari server yang dikendalikan penyerang:
    dav[.]automatinghrservices[.]workers[.]dev@SSL\DavWWWRoot\CV-APP-2012-68907872.exe
    File ini berada di direktori yang sama dengan file DLL tahap 1 RedLoader: netutils.dll
  5. Saat dieksekusi, executable yang tampaknya sah tersebut melakukan sideload terhadap DLL berbahaya (netutils.dll) — awal dari rantai infeksi RedLoader.
  6. RedLoader tahap 1 membuat scheduled task bernama BrowserQE\BrowserQE_<nama komputer yang dikodekan dalam Base64> dan mengunduh executable mandiri untuk tahap 2 dari live[.]airemoteplant[.]workers[.]dev
    • Penggunaan executable mandiri ini berbeda dari aktivitas pada September 2024 dan menyerupai rantai infeksi yang dilaporkan oleh Trend Micro pada Maret 2024.
  7. Scheduled task menggunakan PCALua.exe dan conhost.exe untuk mengeksekusi RedLoader tahap 2, file executable kustom bernama BrowserQE_<Base64>.exe
    • Meskipun nama file bergantung pada korban, nilai SHA256-nya tetap konsisten di semua sampel yang diamati oleh Sophos.
  8. RedLoader tahap 2 melakukan komunikasi dengan server C2.

Mitigasi

Aktivitas pada Juli menunjukkan bagaimana pelaku ancaman menggabungkan teknik-teknik lama untuk mengubah rantai serangan dan melewati sistem pertahanan. GOLD BLADE masih mengandalkan file LNK yang menyamar sebagai tipe file lain.

Organisasi dapat memitigasi ancaman ini dengan menerapkan Group Policy Object (GPO) berupa Software Restriction Policy untuk memblokir eksekusi file LNK dari direktori umum yang sering digunakan oleh malware, seperti:

  • C:\Users\*\Downloads\*.lnk
  • %AppDataLocal%\*.lnk
  • %AppDataRoaming%\*.lnk

Perlindungan Sophos

Nama Deskripsi
Evade_28k Memblokir versi tertentu dari adnotificationmanager.exe terlepas dari nama DLL
WIN-DET-EVADE-HEADLESS-CONHOST-EXECUTION-1 Mendeteksi proses anak conhost.exe yang mencurigakan jika path-nya bukan \Windows\splwow64.exe, \Windows\System32\WerFault.exe, atau \Windows\System32\conhost.exe
Troj/Agent-BLKU Deteksi statis untuk RedLoader tahap 2

Indikator Ancaman

Untuk membatasi paparan terhadap malware ini, organisasi dapat meninjau dan membatasi akses terhadap indikator-indikator berikut (lihat Tabel 2). Domain ini kemungkinan mengandung konten berbahaya, hindari membukanya di browser.

Indikator Jenis Konteks
automatinghrservices[.]workers[.]dev Nama domain Server C2 GOLD BLADE
quiet[.]msftlivecloudsrv[.]workers[.]dev Nama domain Server C2 GOLD BLADE
live[.]airemoteplant[.]workers[.]dev Nama domain Server C2 GOLD BLADE
netutils.dll Nama file DLL tahap 1 RedLoader yang dikirim melalui remote DLL sideloading
d302836c7df9ce8ac68a06b53263e2c685971781a48ce56b3b5a579c5bba10cc SHA256 RedLoader tahap 1
f5203c7ac07087fd5029d83141982f0a5e78f169cdc4ab9fc097cc0e2981d926 SHA256 RedLoader tahap 2
369acb06aac9492df4d174dbd31ebfb1e6e0c5f3 SHA1 RedLoader tahap 2

Jika kamu butuh versi PDF atau format CSV dari indikator ancaman ini, datanya tersedia di repositori GitHub Sophos.

Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!