ESET Research ha llevado a cabo un exhaustivo análisis técnico del conjunto de herramientas utilizado por Gamaredon, un grupo de amenazas persistentes avanzadas (APT) alineado con Rusia, en sus actividades de ciberespionaje centradas en Ucrania. Esta investigación se presenta en un contexto donde la guerra en Ucrania, que comenzó en febrero de 2014 y se intensificó con la invasión rusa en 2022, ha llevado a la proliferación de campanas de desinformación y ciberataques.
Gamaredon, activo desde al menos 2013, se ha convertido en el grupo APT más activo en la región. A pesar de que el conflicto físico se intensificó en 2022, la actividad de Gamaredon ha permanecido constante, implementando herramientas maliciosas para atacar objetivos desde antes del inicio de la invasión, lo que demuestra el compromiso sostenido del grupo con sus operaciones de ciberespionaje.
Durante la investigación, se analizaron miles de muestras de software malicioso, revelando detalles sobre las técnicas de ofuscación y los métodos utilizados por Gamaredon para eludir el bloqueo basado en dominios. Estas tácticas complican los esfuerzos de rastreo, haciendo más difícil la detección y bloqueo automático de sus herramientas. Sin embargo, el análisis logró identificar y comprender estas estrategias.
La investigación también tuvo en cuenta la victimología de Gamaredon. Se ha atribuido este grupo a un centro de seguridad de la información de la FSB que opera desde Crimea ocupada. Gran parte de los ataques de Gamaredon se dirigen a instituciones gubernamentales ucranianas, aunque han intentado comprometer objetivos en varios países de la OTAN, sin obtener éxito.
El informe revela que, entre noviembre de 2022 y diciembre de 2023, se registraron más de mil máquinas únicas atacadas por Gamaredon en Ucrania. Utilizando campañas de spear phishing, el grupo implementa su malware personalizado a través de documentos de Word y dispositivos USB. A diferencia de otros grupos APT, Gamaredon no busca operar en la oscuridad; su enfoque ruidoso y temerario no les impide buscar formas de mantener el acceso a los sistemas comprometidos.
Desde 2022, Gamaredon ha cambiado gradualmente su estrategia hacia el uso de VBScript y PowerShell, mejorando sus capacidades de ciberespionaje y desarrollando nuevas herramientas para el robo de datos. Un ejemplo notable es PteroBleed, diseñado para robar datos de un servicio de correo web utilizado por una institución gubernamental ucraniana.
Además, Gamaredon emplea técnicas como el fast flux DNS para cambiar con frecuencia las direcciones IP de sus servidores de mando y control, lo que dificulta su bloqueo. A través de una variedad de métodos de evasión, incluyendo el uso de servicios de terceros, el grupo sigue representando una amenaza significativa.
Dada la situación en Ucrania, es probable que Gamaredon continúe su enfoque en el país y sus entidades gubernamentales. Para un análisis más detallado y un desglose técnico de las herramientas y actividades de Gamaredon, ESET Research ha publicado un informe completo que está disponible para su consulta.
Fuente: WeLiveSecurity by eSet.