Een Russische Advanced Persistent Threat (APT)-groep is zijn malwarearsenaal blijven ontwikkelen en uitbreiden als onderdeel van zijn voortdurende cyberaanval op Oekraïne in 2025.
Het Slowaakse cyberbeveiligingsbedrijf ESET zei dat het 35 verschillende spearphishing-campagnes van Gamaredon tegen nieuwe doelwitten heeft waargenomen, waarvan de meeste in de tweede helft van het jaar plaatsvonden. Primaire doelwitten van deze inspanningen zijn onder meer de Oekraïense regerings- en militaire instellingen.
“Gedurende 2025 bleef Gamaredon zeer actief en bleef hij uitsluitend op Oekraïne gericht”, aldus ESET. “Het uiteindelijke doel van de groep blijft de exfiltratie van gevoelige informatie en andere kritische gegevens die kunnen worden uitgebuit om de Russische belangen in de aanhoudende oorlog in Oekraïne te ondersteunen.”
De spearphishing-campagnes maken gebruik van archiefbijlagen of XHTML-bestanden die gebruik maken van HTML-smokkel om kwaadaardige HTA-downloaders af te leveren die verantwoordelijk zijn voor het droppen van extra payloads, zoals PteroSand. Sommige aanvallen hebben ook een inmiddels herstelde fout in WinRAR (CVE-2025-8088) als wapen gebruikt om de kwaadaardige HTA-downloader in de Windows Opstartmap van het slachtoffer te plaatsen.
Dit zorgt er op zijn beurt voor dat de downloader automatisch wordt uitgevoerd bij de volgende login, waardoor een persistentiemechanisme aan de compromisketen wordt toegevoegd. Het is bekend dat de aanvallen van Gamaredon afhankelijk zijn van bewapenaars als PteroLNK en PteroPaste om zijwaartse beweging te vergemakkelijken door USB-drives en netwerkdrives te infecteren met kwaadaardige LNK-bestanden die, wanneer ze worden geopend door een nietsvermoedende gebruiker, het ophalen van downloader-malware veroorzaken.
Ook wordt PteroSetup gebruikt, een oudere Visual Basic Script (VBScript)-bewapenaar die voor het eerst werd ontdekt in januari 2021 en waarvan wordt aangenomen dat deze niet meer leverbaar is. De tool scant USB- en toegewezen netwerkstations op legitieme installatiebestanden en vervangt deze, indien gevonden, door 7z zelfuitpakkende (SFX) archieven die het oorspronkelijke installatieprogramma en een kwaadaardige VBScript-downloader bevatten.
“In 2025 groeide de afhankelijkheid van de groep van diensten van derden aanzienlijk, waarbij tunneldiensten en serverloze werkplatforms een steeds belangrijker onderdeel werden van de manier waarop zij hun echte back-endinfrastructuur verborgen hielden”, aldus ESET.
De aanvallen worden ook gekenmerkt door de introductie van zes nieuwe kwaadaardige PowerShell-tools, waarmee het aangepaste malwarearsenaal wordt uitgebreid:
- PteroDee En PteroCache voor het ophalen en uitvoeren van PowerShell-payloads in het geheugen
- PteroDum voor het ophalen en uitvoeren van VBScript-payloads in het geheugen
- PteroOdd voor het ophalen van een enkele PowerShell-payload met behulp van de Telegra.ph API en waarschijnlijk gebruikt in campagnes waarin de Gamaredon-acteurs samenwerkten met Turla
- PteroBeeltenis voor het ophalen van de command-and-control (C2)-server met behulp van de GoFile-cloudopslagservice
- PteroPastevoor het bewapenen van USB-drives en het downloaden van extra PowerShell-payloads via een gecodeerd kanaal
“Terwijl de groep in januari 2025 een korte operationele pauze nam, besteedde Gamaredon in de eerste helft van dat jaar een groot deel van zijn inspanningen aan het ontwikkelen en inzetten van nieuwe tools”, aldus ESET-onderzoeker Zoltán Rusnák.
“Er zijn veel updates gedaan in de aanloop naar grote feestdagen in Rusland en de Krim. Er zijn met name geen updates waargenomen tijdens of onmiddellijk na deze feestdagen, wat er verder op wijst dat Gamaredon-operators waarschijnlijk bij de overheid aangesloten werknemers zijn.”
Een ander opmerkelijk aspect van de campagne van de bedreigingsacteur draait om het gebruik van een breed scala aan legitieme diensten als data-exfiltratiekanalen en dead drop-resolvers om details van de C2-server te verkrijgen en om malware te verwijzen naar de infrastructuur die al verborgen is achter tunnels of serverloze werkers. Deze omvatten –
- Telegraaf
- Telex
- Rentry.co
- Schrijf.as
- Dropbox
- GoBestand
- DEV-gemeenschap (dev.to)
- Mastodont
- Lesma
- Nopaste.net
- Plak.ee
- Wasabi
- Tebi
- Interkleur
- Dropbox
“Net als in voorgaande jaren compenseerde de groep de relatieve eenvoud van zijn malware met persistentie, frequente updates en een steeds creatiever misbruik van legitieme online diensten”, aldus ESET. “Gamaredon breidde zijn gebruik van deaddrops, tunnels, werkers, dynamische DNS en cloudopslag verder uit, waardoor zijn activiteiten flexibeler en moeilijker te verstoren zijn.”
