De Russische hackgroep bekend als Gamaredon wordt toegeschreven aan de voortdurende exploitatie van een WinRAR-kwetsbaarheid om meerdere malwarefamilies te leveren die gericht zijn op gegevensdiefstal en -verspreiding.
Volgens Sekoia omvat de activiteit het bewapenen van CVE-2025-8088, een fout bij het doorlopen van paden in WinRAR, om een HTML-applicatie-payload genaamd GammaPhish te lanceren, die vervolgens wordt gebruikt om een tussenliggende Visual Basic Script (VBScript)-downloader met de codenaam GammaLoad op te halen. De infectieketen werd in januari 2026 waargenomen door het Franse cyberbeveiligingsbedrijf.
“Hun primaire doelstellingen zijn het vingerafdrukken van het hostsysteem, het bijwerken van de netwerkconfiguratie in het register met behulp van dead drop-resolvers (DDR’s), het ophalen en uitvoeren van willekeurige VBScript-payloads van de C2-servers”, aldus Sekoia.
Een van de payloads is een VBScript-worm, bekend als GammaWorm, die persistentie tot stand brengt via geplande taken en is ontworpen om legitieme mappen op netwerkshares en USB-drives te verbergen en te vervangen door kwaadaardige Windows Shortcut-bestanden (LNK), wat resulteert in de uitvoering van willekeurige code die wordt opgehaald van een command-and-control (C2)-server.
Om zijn C2 op te lossen, initieert GammaWorm een GET-verzoek via curl naar een hardgecodeerd openbaar Telegram-kanaal. Door legitieme platforms zoals Telegram te gebruiken, is het de bedoeling om op te gaan in het reguliere verkeer, detectie te vermijden en langdurige spionageoperaties in stand te houden. GammaWorm vertrouwt ook op de NTFS Alternate Data Streams (ADS)-techniek om zijn kernmodules te verbergen.
Een andere malwarefamilie die via GammaLoad wordt geleverd, is een modulaire informatiedief met de codenaam GammaSteel die bestanden vangt die overeenkomen met bepaalde extensies en deze exfiltreert naar een Amazon Web Services (AWS) S3-bucket of een door een aanvaller bestuurde server als fallback-mechanisme.
Sekoia zei dat de infectiesequenties kunnen worden gebruikt om andere malwarefamilies te verspreiden, zoals GammaWipe (ook bekend als GamaWiper), afhankelijk van de doelstellingen van de bedreigingsacteur.
“De exacte implementatievector voor GammaWorm blijft dubbelzinnig; het kan gelijktijdig door GammaLoad worden verwijderd, of onafhankelijk worden geïntroduceerd via een gebruiker die een bewapende USB-drive uitvoert”, merkte het op. “Bovendien beoordelen we, als we de wereldwijde uitvoeringsstroom beoordelen, met groot vertrouwen dat GammaPhish is ontworpen om GammaLoad als eerste in te zetten.”
Gamaredon, een door de Russische staat gesponsorde inbraakset die officieel verbonden is met de Federale Veiligheidsdienst (FSB), heeft een geschiedenis van het aanvallen van Oekraïne, met name de overheid, het leger en kritieke infrastructuurentiteiten, met behulp van spearphishing-e-mails met kwaadaardige bijlagen, in deze booby-trapped RAR-archieven.
“Deze infectieketen onthult een veerkrachtig, massief en zeer versluierd modulair ontwerp”, aldus Sekoia. “Vanwege het aanpassingsvermogen en het vermogen van de operator om configuraties direct bij te werken, is het zeer waarschijnlijk dat deze architectuur in de toekomst zal worden hergebruikt.”
De ontwikkeling valt samen met de targeting van UAC-0184 op Oekraïense militaire doelen om via LNK-aas een uitvoerbaar bestand te leveren dat is gekoppeld aan een legitiem programma genaamd PassMark BurnInTest. Een tweede cluster van dreigingsactiviteiten dat zich op Oekraïne heeft gericht is UAC-0247 (voorheen gevolgd als UAC-0244), dat drone-operators heeft uitgekozen om HTML Application (HTA)-droppers in te zetten via ZIP-archieven en een achterdeur die in staat is een omgekeerde schil tot stand te brengen voor de door de aanvaller gecontroleerde infrastructuur.
Bedreigingsjagers hebben ook de evolutie van PixyNetLoader in kaart gebracht, een malware-lader toegeschreven aan APT28 in verband met campagnes die misbruik maken van een Microsoft Office-kwetsbaarheid (CVE-2026-21509), om een COVENANT Grunt-implantaat te extraheren. Volgens ExaTrack wordt de malwarefamilie sinds december 2024 in het wild gedetecteerd, waarbij recente iteraties pas op 15 april 2026 zijn ontdekt.
