Un informe de ESET Research revela que el grupo APT vinculado al FSB ruso ha renovado su arsenal en 2024, desplegando campañas de spearphishing más agresivas, ocultando su infraestructura tras servicios como Cloudflare y Telegram.
La unidad de investigación de la empresa de ciberseguridad ESET ha publicado un nuevo informe técnico que analiza la evolución reciente del grupo de amenazas persistentes avanzadas (APT) Gamaredon, vinculado al Servicio Federal de Seguridad de Rusia (FSB), y que lleva atacando instituciones gubernamentales ucranianas desde al menos 2013.
Según el documento titulado “Gamaredon in 2024: Cranking out spearphishing campaigns against Ukraine with an evolved toolset”, durante el año 2024 el grupo centró exclusivamente sus operaciones en Ucrania, intensificando tanto la frecuencia como el alcance de sus campañas de spearphishing. Estas acciones forman parte de una ofensiva de ciberespionaje directamente alineada con los intereses geopolíticos rusos en el contexto de la guerra en curso.
Spearphishing más agresivo y adaptado
ESET detalla que, especialmente en la segunda mitad de 2024, Gamaredon multiplicó sus campañas de correo electrónico malicioso, que suelen durar entre uno y cinco días consecutivos. Los correos distribuyen archivos adjuntos infectados en formatos como RAR, ZIP, 7z o utilizan técnicas de HTML smuggling mediante ficheros XHTML. El objetivo: ejecutar scripts maliciosos en VBScript o PowerShell que permiten la descarga de otras cargas útiles.
Una novedad destacada fue el uso de enlaces maliciosos en lugar de archivos adjuntos, algo poco habitual en este grupo. Además, introdujeron una técnica innovadora que ejecuta comandos PowerShell directamente desde dominios generados a través de Cloudflare, evadiendo así mecanismos tradicionales de detección.
Nuevas herramientas y mayor sigilo
En 2024, Gamaredon introdujo al menos seis nuevas herramientas de malware, diseñadas específicamente para garantizar sigilo, persistencia y movimientos laterales dentro de las redes atacadas. Aunque el grupo presentó menos herramientas nuevas que en años anteriores, invirtió grandes recursos en mejorar las existentes, aplicando técnicas de ofuscación más avanzadas y métodos más eficaces para la exfiltración de datos.
Uno de los hallazgos más singulares ocurrió en julio de 2024, cuando se detectó un payload en VBScript sin funciones de espionaje, cuya única finalidad era abrir automáticamente un canal de propaganda ruso en Telegram llamado «Guardians of Odessa», según explicó el investigador de ESET Zoltán Rusnák.
Infraestructura oculta tras servicios de terceros
Otra táctica destacada en el informe es el uso cada vez más sofisticado de infraestructuras de mando y control (C&C) ocultas tras servicios legítimos. Gamaredon ha llegado a esconder casi por completo su red de control tras túneles de Cloudflare, y a depender intensamente de servicios como Telegram, Telegraph, Dropbox y Codeberg para distribuir y operar sus herramientas maliciosas.
El grupo sigue utilizando técnicas como DNS fast-flux, con direcciones IP que rotan constantemente, lo que dificulta la detección y bloqueo por parte de los sistemas de defensa en red.
Una amenaza persistente y adaptable
A pesar de haber abandonado algunas herramientas obsoletas y mostrar ciertas limitaciones operativas, ESET advierte que Gamaredon sigue siendo un actor altamente peligroso debido a su capacidad para adaptarse, renovar su arsenal, y mantener la presión constante sobre las instituciones ucranianas.
“Mientras continúe la guerra de Rusia contra Ucrania, podemos esperar que Gamaredon siga evolucionando sus tácticas y aumentando su actividad de ciberespionaje”, concluye Rusnák.
vía: ESET
