Las actividades de ciberespionaje han seguido desempeñando un papel crucial en el conflicto entre Rusia y Ucrania, con grupos al servicio del Kremlin, como Gamaredon, intensificando sus operaciones en 2025. Este grupo, vinculado al 18º Centro de Seguridad de la Información del FSB ruso, ha estado bajo el radar de ESET Research, que ha documentado su actividad y evolución en diversas investigaciones.
A lo largo del año, Gamaredon ha centrado su enfoque exclusivamente en instituciones gubernamentales y militares ucranianas. Se han llevado a cabo 35 campañas de spearphishing, especialmente en la segunda mitad del año, que fueron notablemente más amplias y complejas en comparación con años anteriores. Utilizando una combinación de herramientas personalizadas, el grupo ha encontrado nuevas maneras de moverse lateralmente dentro de las redes comprometidas.
La innovación técnica ha sido un sello distintivo de Gamaredon en 2025, con el despliegue de seis nuevas herramientas basadas en PowerShell y la reactivación de un antiguo arma de VBScript. Entre las herramientas destacadas se encuentran los ladrones de archivos PteroVDoor y PteroPSDoor, que ahora permiten la exfiltración a servicios de almacenamiento en la nube, lo que refleja un cambio estratégico hacia métodos más sofisticados para ocultar sus actividades.
Además de estas herramientas nuevas, se observó un cambio significativo en la forma en que el grupo oculta su infraestructura de red. Gamaredon ha empezado a utilizar servicios de terceros, como túneles y plataformas sin servidor, para enmascarar sus servidores de comando y control. Esto no solo dificulta la interrupción de sus operaciones, sino que también les permite disfrazar su tráfico malicioso entre el tráfico legítimo.
Otro aspecto alarmante de las actividades de Gamaredon es su renovado uso de «muertos» digitales, un concepto de espionaje tradicional que permite intercambiar información sin contacto directo. Este método les permite operar desde plataformas legítimas y complica la tarea de los defensores, quienes podrían dudar en bloquear servicios ampliamente utilizados.
La data exfiltrada ahora se sube principalmente a servicios de almacenamiento en la nube, lo que minimiza la necesidad de mantener su propia infraestructura, al tiempo que ayuda a camuflar el tráfico malicioso. Esta tendencia se ha intensificado desde que Gamaredon ha comenzado a utilizar servicios como Wasabi, Tebi e Intercolo como nuevos destinos para sus operaciones de robo de información.
A medida que el conflicto entre Rusia y Ucrania persiste, se espera que Gamaredon continúe su lucha, refinando su enfoque y tácticas de ciberespionaje. Las mejoras en su arsenal y su adaptación a un panorama cibernético en constante cambio plantean un reto significativo para las estructuras de defensa cibernética en Ucrania, que deben enfrentarse a una amenaza persistente y en evolución.
Fuente: WeLiveSecurity by eSet.
