Um grupo russo de ameaça persistente avançada, ou APT, continuou a evoluir e a ampliar seu arsenal de malware como parte de sua campanha cibernética contínua contra a Ucrânia ao longo de 2025.
A empresa eslovaca de cibersegurança ESET informou que observou 35 campanhas distintas de spear phishing conduzidas pelo Gamaredon contra novos alvos, sendo que a maioria ocorreu no segundo semestre do ano.
Os principais alvos dessas ações incluem instituições governamentais e militares ucranianas.
"Ao longo de 2025, o Gamaredon permaneceu altamente ativo e continuou focado exclusivamente na Ucrânia", disse a ESET.
"O objetivo final do grupo segue sendo a exfiltração de informações sensíveis e outros dados críticos que possam ser explorados para apoiar os interesses russos na guerra em curso na Ucrânia."
As campanhas de spear phishing usam anexos compactados ou arquivos XHTML que empregam HTML smuggling para entregar downloaders maliciosos em HTA, responsáveis por descarregar outros payloads, como o PteroSand.
Parte dos ataques também explorou uma falha já corrigida no WinRAR, identificada como
CVE-2025-8088
, para colocar o downloader malicioso em uma pasta de Inicialização do Windows da vítima.
Isso faz com que o downloader seja executado automaticamente no próximo login, adicionando um mecanismo de persistência à cadeia de comprometimento.
Os ataques do Gamaredon também são conhecidos por recorrer a ferramentas como PteroLNK e PteroPaste para facilitar o movimento lateral, infectando unidades USB e unidades de rede com arquivos LNK maliciosos que, ao serem abertos por um usuário desatento, acionam o download de malware.
Também é usado o PteroSetup, uma ferramenta antiga em Visual Basic Script, ou VBScript, detectada pela primeira vez em janeiro de 2021 e provavelmente considerada descontinuada.
A ferramenta varre unidades USB e unidades de rede mapeadas em busca de instaladores legítimos e, quando encontra algum, o substitui por arquivos 7z autoextraíveis, ou SFX, contendo o instalador original e um downloader malicioso em VBScript.
"Em 2025, a dependência do grupo em serviços de terceiros cresceu de forma significativa, com serviços de túnel e plataformas de workers sem servidor se tornando parte cada vez mais importante de como ele ocultava sua infraestrutura real de back-end", afirmou a ESET.
Os ataques também se caracterizam pela introdução de seis novas ferramentas maliciosas em PowerShell, ampliando seu arsenal personalizado de malware:
- PteroDee e PteroCache, para buscar e executar payloads em PowerShell na memória
- PteroDum, para buscar e executar payloads em VBScript na memória
- PteroOdd, para buscar um único payload em PowerShell usando a API do Telegra.ph e provavelmente empregado em campanhas nas quais os agentes do Gamaredon colaboraram com a Turla
- PteroEffigy, para buscar o servidor de command and control, ou C2, usando o serviço de armazenamento em nuvem GoFile
- PteroPaste, para transformar unidades USB em vetor de ataque e baixar novos payloads em PowerShell por meio de um canal criptografado
"Embora o grupo tenha feito uma breve pausa operacional em janeiro de 2025, o Gamaredon dedicou grande parte de seu esforço no primeiro semestre daquele ano ao desenvolvimento e à implantação de novas ferramentas", disse o pesquisador da ESET Zoltán Rusnák.
"Muitas atualizações foram feitas antes de grandes feriados na Rússia e na Crimeia.
De forma notável, não houve atualizações durante esses feriados nem imediatamente depois, o que reforça a suspeita de que os operadores do Gamaredon provavelmente são funcionários ligados ao governo."
Outro aspecto relevante da campanha desse threat actor envolve o uso de uma ampla variedade de serviços legítimos como canais de exfiltração de dados e resolvedores de dead drop para obter detalhes do servidor de C2 e direcionar o malware para uma infraestrutura já ocultada por túneis ou workers sem servidor.
Entre eles estão:
- Telegra.ph
- Teletype
- Rentry.co
- Write.as
- Dropbox
- GoFile
- DEV Community (dev.to)
- Mastodon
- Lesma
- Nopaste.net
- Paste.ee
- Wasabi
- Tebi
- Intercolo
"Assim como em anos anteriores, o grupo compensou a relativa simplicidade de seu malware com persistência, atualizações frequentes e um uso cada vez mais criativo de serviços on-line legítimos", disse a ESET.
"O Gamaredon ampliou ainda mais o uso de dead drops, túneis, workers, DNS dinâmico e armazenamento em nuvem, tornando suas operações mais flexíveis e mais difíceis de interromper."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...