ESET Research ha realizado un análisis exhaustivo del grupo de ciberespionaje Gamaredon, destacando su evolución en técnicas y herramientas a lo largo de 2024. Desde la invasión a gran escala de Rusia a Ucrania en febrero de 2022, el ciberespionaje ha adquirido una relevancia significativa, y Gamaredon ha operado como uno de los grupos más activos, centrando su enfoque exclusivamente en instituciones gubernamentales ucranianas durante este año.
A lo largo de 2024, Gamaredon ha intensificado sus campañas de spearphishing, utilizando métodos de entrega más sofisticados, como enlaces maliciosos y archivos LNK que ejecutan PowerShell desde dominios alojados en Cloudflare. Este cambio marca una notable adaptación en comparación con las tácticas previas, donde se enfocaban más en adjuntos maliciosos. Las campañas ahora suelen durar de uno a cinco días e involucran la manipulación de archivos para facilitar la infiltración en sistemas.
La investigación reveló que Gamaredon introdujo seis nuevas herramientas de malware y mejoró significativamente las existentes, implementando técnicas de ocultamiento más avanzadas y métodos refinados para la exfiltración de datos. Por ejemplo, la herramienta PteroPSDoor ahora monitorea cambios en archivos en lugar de escanear directorios continuamente, lo que disminuye su visibilidad. Además, han comenzado a utilizar canales de comunicación a través de servicios de terceros como Telegram y Cloudflare, aumentando su capacidad de evitar detecciones.
En un giro inusual, se descubrió un payload de VBScript que, en lugar de ejecutarse con fines de espionaje, abría automáticamente un canal de propaganda pro-rusa en Telegram, indicando una posible ampliación de su enfoque más allá del ciberespionaje tradicional.
Los esfuerzos por evadir defensas de red han llevado a Gamaredon a utilizar tecnologías como DNS sobre HTTPS (DoH) y servicios en la nube para ocultar su infraestructura de Command and Control (C&C). Aunque el número de dominios registrados ha disminuido considerablemente, el grupo ha mantenido su capacidad de innovar y adaptarse, lo que lo convierte en una amenaza persistente.
Con el conflicto en Ucrania aún en curso, se anticipa que Gamaredon continuará desarrollando nuevas tácticas y herramientas, y seguirá intensificando sus operaciones en el ámbito del ciberespionaje.
Fuente: WeLiveSecurity by eSet.
