El grupo ruso Advanced Persistent Threat (APT) continúa evolucionando y ampliando su arsenal de malware como parte de sus ciberataques en curso contra Ucrania a lo largo de 2025.
La empresa eslovaca de ciberseguridad ESET dijo que observó 35 campañas diferentes de phishing lanzadas por Gamaredon contra nuevos objetivos, la mayoría de las cuales ocurrieron en la segunda mitad de este año. Los objetivos principales de estos esfuerzos incluyen el gobierno y las instituciones militares de Ucrania.
«A lo largo de 2025, Gamaredon se mantuvo muy activo y se centró únicamente en Ucrania», dijo ESET. «El objetivo final del grupo sigue siendo robar información sensible y otros datos sensibles que podrían ser explotados para apoyar los intereses rusos en la guerra en curso en Ucrania».
Las campañas de Spear phishing aprovechan los archivos adjuntos o archivos XHTML que utilizan el contrabando de HTML para entregar descargadores HTA maliciosos que arrojan cargas útiles adicionales, como PteroSand. El ataque también implica explotar una falla actualmente parcheada en WinRAR (CVE-2025-8088) para colocar un descargador HTA malicioso en la carpeta de inicio de Windows de la víctima.
Esto ejecuta automáticamente el descargador en el siguiente inicio de sesión, agregando un mecanismo de persistencia a la cadena de compromiso. Se sabe que los ataques de Gamaredon se basan en herramientas armadas como PteroLNK y PteroPaste para facilitar el movimiento lateral al infectar unidades USB y unidades de red con archivos LNK maliciosos. Cuando un usuario desprevenido abre este archivo, se activa la recuperación del malware de descarga.
También utiliza PteroSetup, una herramienta de armamento de Visual Basic Script (VBScript) más antigua que se detectó por primera vez en enero de 2021 y probablemente esté obsoleta. La herramienta escanea unidades USB y de red asignadas en busca de archivos de instalación legítimos y los reemplaza con un archivo autoextraíble (SFX) 7z que contiene el instalador original y un descargador de VBScript malicioso.
«En 2025, la dependencia del grupo de servicios de terceros ha aumentado significativamente, y los servicios de túnel y las plataformas de trabajadores sin servidor se están convirtiendo en una parte cada vez más importante de cómo oculta la infraestructura backend real», dijo ESET.
El ataque también incluye la introducción de seis nuevas herramientas PowerShell maliciosas y un arsenal ampliado de malware personalizado.
PteroDee y PteroCache Capture y ejecute una carga útil de PowerShell en la memoria PteroDum Capture y ejecute una carga útil de VBScript en la memoria PteroOdd Obtenga una única carga útil de PowerShell usando la API de Telegra.ph y Gamaredon Attacker colabora con Turla PteroEffigy para usar GoFile Cloud para comando y control (C2) PteroPaste, un servicio de almacenamiento que se puede usar en campañas para adquirir servidores, convertir unidades USB en armas y realizar descargas cargas útiles adicionales de PowerShell a través de canales cifrados
“Aunque el grupo tomó una breve pausa en enero de 2025, Gamaredon dedicó mucho esfuerzo a desarrollar e implementar nuevas herramientas en la primera mitad del año”, dijo el investigador de ESET Zoltan Rušnak.
«Se realizaron muchas actualizaciones antes de los principales días festivos en Rusia y Crimea. En particular, no se observaron actualizaciones durante o inmediatamente después de estos días festivos, lo que sugiere además que los operadores de Gamaredon probablemente sean empleados afiliados al gobierno».
Otro aspecto notable de la campaña de este atacante gira en torno al uso de una amplia gama de servicios legítimos como canales de exfiltración de datos y resolutores de entrega muerta para obtener detalles del servidor C2 y dirigir el malware a la infraestructura que ya está oculta detrás de túneles y trabajadores sin servidor. Estos incluyen –
Telegra.ph Teletype Rentry.co Write.as Dropbox GoFile DEV Community (dev.to) Mastodon Lesma Nopaste.net Paste.ee Wasabi Tebi Intercolo Dropbox
«Como en años anteriores, el grupo compensó la relativa simplicidad de su malware con persistencia, actualizaciones frecuentes y una explotación cada vez más creativa de servicios legítimos en línea», dijo ESET. «Gamaredon ha ampliado aún más su uso de puntos muertos, túneles, trabajadores, DNS dinámico y almacenamiento en la nube para hacer que las operaciones sean más flexibles y menos disruptivas».
Source link
