Se cree que un grupo de hackers ruso conocido como Gamaredon explotó continuamente las vulnerabilidades de WinRAR y distribuyó múltiples familias de malware destinado al robo y la propagación de datos.
Según Sekoia, esta actividad implica convertir en arma CVE-2025-8088, una falla de recorrido de ruta en WinRAR, para lanzar una carga útil de aplicación HTML llamada GammaPhish, que se utiliza para obtener un descargador intermedio de Visual Basic Script (VBScript) con nombre en código GammaLoad. Esta cadena de infección fue observada por una empresa francesa de ciberseguridad en enero de 2026.
«Sus principales objetivos son tomar huellas digitales del sistema host, actualizar la configuración de red en el registro usando Dead Drop Resolver (DDR) y recuperar y ejecutar cargas útiles VBScript arbitrarias desde el servidor C2», dijo Sekoia.
Una de las cargas útiles es un gusano VBScript conocido como GammaWorm, que está diseñado para establecer persistencia a través de tareas programadas, ocultar directorios legítimos en recursos compartidos de red y unidades USB y ejecutar código arbitrario obtenido de un servidor de comando y control (C2) reemplazándolos con archivos maliciosos de acceso directo de Windows (LNK).
Para resolver C2, GammaWorm inicia una solicitud GET a través de curl a un canal público de Telegram codificado. La idea es que al utilizar plataformas legítimas como Telegram, puedan mezclarse con el tráfico normal, evitar ser detectados y continuar con sus esfuerzos de espionaje a largo plazo. GammaWorm también se basa en la tecnología NTFS Alternate Data Stream (ADS) para ocultar los módulos principales.
Otra familia de malware entregada a través de GammaLoad es un ladrón de información modular con nombre en código GammaSteel que captura archivos que coinciden con extensiones específicas y los exfiltra a un depósito S3 de Amazon Web Services (AWS) o a un servidor controlado por el atacante como mecanismo de respaldo.
Sekoia dijo que dependiendo de los objetivos del atacante, la secuencia de infección podría usarse para distribuir otras familias de malware como GammaWipe (también conocido como GamaWiper).
«El vector de despliegue exacto de GammaWorm sigue siendo ambiguo y GammaLoad podría eliminarlo simultáneamente o introducirlo de forma independiente a través de usuarios que ejecutan unidades USB armadas», señala el informe. «Además, después de evaluar el flujo de ejecución global, creemos que GammaPhish está diseñado para implementar GammaLoad primero».
Gamaredon, un conjunto de intrusión patrocinado por el estado ruso afiliado oficialmente al Servicio Federal de Seguridad (FSB), tiene un historial de atacar a Ucrania, específicamente agencias gubernamentales, militares y de infraestructura crítica, utilizando correos electrónicos de phishing que contienen archivos adjuntos maliciosos en este archivo RAR con trampa explosiva.
«Esta cadena de infección revela un diseño modular resistente, de gran escala y muy confuso», dijo Sequoia. «Debido a su adaptabilidad y capacidad para que los operadores actualicen las configuraciones sobre la marcha, es muy probable que esta arquitectura se reutilice en el futuro».
Este desarrollo coincide con el UAC-0184 dirigido a objetivos militares en Ucrania para entregar un ejecutable asociado con un programa legítimo llamado PassMark BurnInTest a través de señuelos LNK. El segundo grupo de actividades de amenazas dirigido a Ucrania fue UAC-0247 (anteriormente rastreado como UAC-0244), que identificó operadores de drones e implementó un cuentagotas de aplicaciones HTML (HTA) a través de un archivo ZIP y una puerta trasera que podía establecer un shell inverso en la infraestructura controlada por el atacante.
Los cazadores de amenazas han seguido la evolución de PixyNetLoader, un cargador de malware atribuido a APT28, en relación con una campaña que explota una vulnerabilidad de Microsoft Office (CVE-2026-21509) para extraer el implante COVENANT Grunt. Según ExaTrack, esta familia de malware ha estado disponible desde diciembre de 2024, y la iteración más reciente se descubrió el 15 de abril de 2026.
Source link
