Az orosz Gamaredon APT csoport tavaly tovább bővítette kártevőeszköztárát az Ukrajna elleni kibertámadási kampányai során. A szlovák ESET kiberbiztonsági vállalat jelentése szerint a csoport 2025-ben 35 különálló spear-phishing kampányt indított, amelyek többsége az év második felére koncentrálódott. A célpontok jellemzően ukrán kormányzati és katonai szervezetek voltak. Az ESET szerint a csoport továbbra is kizárólag Ukrajnára fókuszál, célja pedig érzékeny információk megszerzése.
A spear-phishing kampányok archívumokat vagy XHTML fájlokat használnak, amelyek HTML smuggling technikával juttatnak rosszindulatú HTA-alapú letöltőket a célrendszerekre. Ezek további payloadokat töltöttek le, például a PteroSand nevű kártevőt. Egyes esetekben a WinRAR egy korábban javított sérülékenységét (CVE-2025-8088) is kihasználták perzisztencia kiépítésére a Windows Startup mappáján keresztül.
A Gamaredon eszköztára több modult is tartalmaz, köztük a PteroLNK-t és a PteroPaste-et, amelyek USB- és hálózati meghajtók fertőzésével segítik a laterális terjedést. A rosszindulatú LNK fájlok megnyitása további letöltő komponensek aktiválását váltja ki. A csoport továbbra is használja a PteroSetup nevű VBScript-alapú eszközt, amely legitim telepítőfájlokat keres, majd azokat 7z önkicsomagoló archívumokra cseréli, amelyek a legitim bináris mellett egy kártékony szkriptet is tartalmaznak. 2025-ben hat új PowerShell-alapú eszköz jelent meg a Gamaredon eszköztárában, amelyek memóriaalapú végrehajtást és felhőszolgáltatásokkal való visszaélést kombinálnak.
Az ESET szerint a csoport 2025 elején rövid operatív szünetet tartott, majd az év első felében intenzív fejlesztési ciklusba kezdett, új eszközök és frissített kampányok bevezetésével. A Gamaredon egyre nagyobb mértékben támaszkodik legitim online szolgáltatásokra C2-kommunikáció, adatkinyerés és infrastruktúra-elrejtés céljából. A használt platformok között szerepel többek között a Telegra.ph, Dropbox, GoFile, Mastodon, és a Write.as is. Ezeket a szolgáltatásokat a csoport „dead drop” mechanizmusként és átmeneti adatátviteli csatornaként használja.
Az ESET szerint a Gamaredon továbbra is viszonylag egyszerű malwareket alkalmaz, azonban azokat gyakori frissítésekkel és egyre kifinomultabb legitim szolgáltatásokat kihasználó technikákkal kombinálja.
