O grupo de hackers russo conhecido como Gamaredon foi atribuído à exploração contínua de uma vulnerabilidade do WinRAR para distribuir várias famílias de malware voltadas ao roubo de dados e à propagação.
Segundo a Sekoia, a atividade envolve a exploração da
CVE-2025-8088
, uma falha de travessia de caminho no WinRAR, para iniciar um payload de HTML Application batizado de GammaPhish.
Esse componente é usado para recuperar downloaders intermediários em Visual Basic Script (VBScript), identificados pelo codinome GammaLoad.
A cadeia de infecção foi observada pela empresa francesa de cibersegurança em janeiro de 2026.
“O objetivo principal deles é identificar a máquina comprometida, atualizar a configuração de rede no registro usando dead drop resolvers (DDRs) e buscar e executar payloads arbitrários em VBScript a partir dos servidores C2”, afirmou a Sekoia.
Um dos payloads é um worm em VBScript chamado GammaWorm, que estabelece persistência por meio de tarefas agendadas e foi projetado para ocultar diretórios legítimos em compartilhamentos de rede e unidades USB, substituindo-os por arquivos maliciosos do Windows Shortcut (LNK).
Isso resulta na execução de código arbitrário obtido de um servidor de command and control (C2).
Para resolver seu C2, o GammaWorm inicia uma solicitação GET via curl para um canal público do Telegram definido de forma hardcoded.
Ao usar plataformas legítimas como o Telegram, a ideia é se misturar ao tráfego normal, evitar detecção e sustentar operações de espionagem de longo prazo.
O GammaWorm também depende da técnica NTFS Alternate Data Streams (ADS) para ocultar seus módulos principais.
Outra família de malware entregue via GammaLoad é um infostealer modular batizado de GammaSteel, que coleta arquivos com determinadas extensões e os exfiltra para um bucket do Amazon Web Services (AWS) S3 ou, como mecanismo de contingência, para um servidor controlado pelo invasor.
A Sekoia afirmou que as cadeias de infecção podem ser usadas para distribuir outras famílias de malware, como o GammaWipe, também conhecido como GamaWiper, dependendo dos objetivos do threat actor.
“O vetor exato de implantação do GammaWorm ainda é ambíguo; ele pode ser descartado simultaneamente pelo GammaLoad ou introduzido de forma independente quando o usuário executa uma unidade USB armada”, observou a empresa.
“Além disso, ao avaliar o fluxo global de execução, concluímos com alta confiança que o GammaPhish foi projetado para implantar o GammaLoad primeiro.”
Gamaredon, um conjunto de intrusões patrocinado pelo Estado russo e oficialmente ligado ao Serviço Federal de Segurança (FSB), tem histórico de ataques contra a Ucrânia, especialmente contra órgãos governamentais, militares e entidades de infraestrutura crítica, usando e-mails de spear phishing com anexos maliciosos em arquivos RAR armados.
“Essa cadeia de infecção revela um design modular resiliente, massivo e altamente ofuscado”, disse a Sekoia.
“Devido à sua adaptabilidade e à capacidade do operador de atualizar as configurações em tempo real, é muito provável que essa arquitetura seja reutilizada no futuro.”
O desenvolvimento coincide com ações do UAC-0184, que tem como alvo estruturas ligadas ao setor militar ucraniano para distribuir um executável associado ao programa legítimo PassMark BurnInTest por meio de iscas em LNK.
Um segundo grupo de atividade maliciosa que tem atacado a Ucrânia é o UAC-0247, anteriormente monitorado como UAC-0244, que mirou operadores de drones para implantar droppers em HTML Application (HTA) por meio de arquivos ZIP e um backdoor capaz de estabelecer uma shell reversa em uma infraestrutura controlada pelo invasor.
Pesquisadores de ameaças também acompanharam a evolução do PixyNetLoader, um loader de malware atribuído à APT28 em conexão com campanhas que exploraram uma vulnerabilidade do Microsoft Office, a
CVE-2026-21509
, para extrair um implantante COVENANT Grunt.
Segundo a ExaTrack, a família de malware foi detectada em atividade desde dezembro de 2024, com versões recentes encontradas em 15/04/2026.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...