DeafNews
// 3 CVE · 3 EXPLOIT NELLE ULTIME 24H
Cybersecurity

Gamaredon 2025: 35 campagne spear-phishing e 6 tool PowerShell contro l'Ucraina

Published: Updated: By DeafSuite team 9 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Il gruppo APT Gamaredon ha condotto 35 campagne spear-phishing nel 2025 contro istituzioni ucraine, introducendo sei nuovi tool PowerShell e abusando di tunnel e

Gamaredon, gruppo APT attribuito dal Servizio di Sicurezza dell'Ucraina (SSU) al 18° Centro di Sicurezza Informatica dell'FSB russo, ha intensificato nel 2025 le operazioni di cyber-spionaggio contro istituzioni governative e militari ucraine. Secondo ESET, che ha tracciato l'attività nel suo white paper dedicato, il gruppo ha montato 35 distinte campagne di spear-phishing, ha introdotto sei nuovi tool PowerShell e ha costruito un'infrastruttura C2 sempre più resiliente attraverso abuso di tunnel, worker serverless e storage cloud. Un dettaglio apparentemente marginale — i tempi degli aggiornamenti software legati al calendario delle festività russe e crimeane — costituisce la prova forense più solida della natura di dipendenti statali dietro le operazioni.

Punti chiave
  • Gamaredon ha condotto 35 campagne spear-phishing distinte nel 2025, concentrate prevalentemente nel secondo semestre, con target esclusivamente ucraini — istituzioni governative e militari.
  • Il gruppo ha introdotto sei nuovi tool PowerShell: PteroDee, PteroCache, PteroDum, PteroOdd, PteroEffigy e PteroPaste, il più complesso dei quali combina downloader, USB weaponizer e componente runner.
  • L'infrastruttura C2 si è evoluta verso l'abuso di tunnel, worker serverless, DDNS, PaaS e servizi legittimi come Dropbox, Telega.ph, GoFile e pastebin, rendendo inefficaci i blocchi basati su domini noti.
  • La distribuzione temporale degli aggiornamenti — sospesi durante festività russe e crimeane — suggerisce operatori con orario di ufficio governativo, rafforzando l'attribuzione state-sponsored.

Il ritmo del secondo semestre: da gennaio di sviluppo a 35 campagne

Dopo una breve pausa operativa a gennaio 2025, Gamaredon ha dedicato il primo semestre allo sviluppo di nuovi strumenti. Zoltán Rusnák, ricercatore ESET, ha dichiarato: "While the group took a short operational break in January 2025, Gamaredon spent much of its effort in the first half of that year developing and deploying new tools". I cinque tool PowerShell emersi in quel periodo — PteroDee, PteroCache, PteroDum, PteroOdd e PteroEffigy — sono stati seguiti da PteroPaste, evoluzione verso maggiore complessità integrata.

Nel secondo semestre il ritmo è cambiato. Le 35 campagne identificate da ESET sono diventate "both more frequent and larger in scale", secondo la formulazione del white paper. L'obiettivo è rimasto costante: l'esfiltrazione di informazioni sensibili a supporto degli interessi russi nel conflitto in corso. ESET ha formulato la claim in modo esplicito: "The group's ultimate goal continues to be the exfiltration of sensitive information and other critical data that could be exploited to support Russian interests in the ongoing war in Ukraine".

PteroPaste e l'architettura dei dead drop: da Rentry a Dropbox via tunnel

PteroPaste rappresenta il punto di convergenza della strategia evolutiva di Gamaredon. Le versioni iniziali utilizzavano Rentry come dead drop resolver; le successive hanno spostato la risoluzione su Dropbox, con il nome host C2 crittografato scaricato dalla piattaforma e decrittato localmente, per poi connettersi a infrastruttura nascosta dietro servizi di tunnel. Questo schema — cloud storage pubblico come intermediario, tunnel come strato di occultamento — elimina la necessità di contattare direttamente server C2 controllati dall'attaccante nella fase iniziale.

L'abuso di servizi legittimi non si limita a Dropbox. ESET documenta l'impiego di tunnel, worker serverless, DNS dinamico, piattaforme PaaS, servizi di messaging, social media, blogging e paste per dead drop. I file stealer PteroVDoor e PteroPSDoor sono stati aggiornati per esfiltrare verso Wasabi, Tebi e Intercolo. Il modello è coerente: "low sophistication, high adaptability", dove la semplicità del malware di base viene compensata dalla frequenza degli aggiornamenti e dalla creatività nell'abuso di infrastrutture altrui.

"As in previous years, the group compensated for the relative simplicity of its malware with persistence, frequent updates, and an increasingly creative abuse of legitimate online services" — ESET

La persistenza rafforzata: CVE-2025-8088 e il ritorno di PteroSetup

Dal 26 settembre 2025 Gamaredon ha integrato nella catena di compromissione la vulnerabilità WinRAR CVE-2025-8088, con punteggio CVSS 8.8 HIGH secondo il National Vulnerability Database. L'exploit consente di posizionare un downloader HTA nella cartella Startup delle vittime, aggiungendo un livello di persistenza che sopravvive ai riavvii del sistema. La fonte descrive la vulnerabilità come "now-patched", senza tuttavia specificare se la patch sia stata distribuita prima o durante l'abuso documentato.

Parallelamente, il gruppo ha resuscitato PteroSetup, weaponizer VBScript originariamente rilevato a gennaio 2021 e presumibilmente abbandonato negli anni successivi. Il meccanismo è tecnicamente specifico: sostituisce installer legittimi con archivi SFX (self-extracting) 7z contenenti l'installer originale affiancato a un downloader VBScript malevolo. La tecnica sfrutta la trust relationship dell'utente con software legittimo per occultare il payload secondario.

La collaborazione con Turla e l'ecosistema FSB

Nel primo trimestre 2025 ESET ha documentato una collaborazione tra Gamaredon e Turla, altro gruppo APT anch'esso collegato all'FSB. PteroOdd, uno dei sei nuovi tool PowerShell, è stato impiegato principalmente in questo contesto. Il white paper ESET dedica un articolo separato alla vicenda, intitolato "Gamaredon X Turla collab". La fonte non specifica la durata, lo scope esatto o la divisione dei compiti tra i due gruppi; la collaborazione è documentata solo per i "primi mesi del 2025" e non è confermata come in corso al momento della pubblicazione.

Questa convergenza, unita al parallelismo storico con UAC-0099 (gruppo spesso associato a Sandworm/GRU ma con tool sovrapposti a Gamaredon in passato, secondo CERT-UA), indica un ecosistema di cyber-operazioni russo con coordinamento crescente tra unità diverse. Il brief non documenta tuttavia contatti diretti tra Gamaredon e Sandworm nel 2025.

Il calendario come impronta digitale: festività e orario di ufficio

Il dato più insolito — e forse il più rivelatore — riguarda la distribuzione temporale degli aggiornamenti dei tool. ESET ha osservato che "many updates were made in the lead-up to major holidays in Russia and Crimea", con un'assenza sistematica di aggiornamenti durante e immediatamente dopo tali festività. Rusnák ha commentato: "Notably, no updates were observed during or immediately after these holidays, further suggesting that Gamaredon operators are probably government-affiliated employees".

Questo pattern trasforma un'ipotesi di attribuzione in evidenza comportamentale misurabile. Gli operatori non agiscono su turnazione continua né su modello criminale tradizionale; seguono un ritmo compatibile con ferie pubbliche russe e struttura oraria da dipendenti statali. Per chi analizza minacce APT, il calendario diventa un indicatore di pari dignità rispetto agli indicatori tecnici di compromissione.

Cosa fare adesso

Per le organizzazioni con operazioni in Ucraina o supporto alle difese ucraine, il dossier ESET impone quattro priorità:

  • Abandonare le blocklist di domini C2 come unica difesa: Gamaredon risolve C2 attraverso Dropbox, tunnel e servizi cloud legittimi; i controlli devono spostarsi sull'analisi comportamentale del traffico e sulla restriction di servizi non autorizzati.
  • Rivedere le politiche di esecuzione di archivi SFX e script VBScript nella catena di installazione software, data la resurrezione di PteroSetup e la sua tecnica di sostituzione installer.
  • Monitorare la presenza di file HTA nella cartella Startup in combinazione con archivi WinRAR, considerando l'abuso documentato di CVE-2025-8088 a partire dal 26 settembre 2025.
  • Valutare la segmentazione degli accessi a servizi cloud di terze parti (storage, paste, worker serverless) che Gamaredon utilizza come dead drop e canali C2.

Lettura: quando l'orologio del nemico è la prova

Gamaredon dimostra che la linea tra "insufficiente sofisticazione" e "adattabilità efficace" è sottile. I suoi tool PowerShell non competono per complessità con i framework di gruppi come Turla o APT28; la resilienza opera per accretione, non per architettura. Tuttavia, la frequenza degli aggiornamenti, la velocità di reazione ai blocchi difensivi e l'integrazione di servizi legittimi creano un'inerzia che le difese tradizionali faticano a contrastare.

Il dettaglio delle festività aggiunge una dimensione umana a un dominio spesso astratto. Gli APT non sono entità algoritmiche; in questo caso, lasciano tracce sul calendario come qualsiasi dipendente pubblico. La sfida per i difensori resta tecnica — riprogettare i controlli per un avversario che non ha più un dominio da bloccare — ma la conferma dell'attribuzione state-sponsored arriva da un osservatorio inatteso: l'orario di lavoro.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Per approfondire

  • SBU-FBI: campagna russa hacker account messaggistica
  • StrikeShark: nuovo loader colpisce governi e diplomatici in 10 paesi
  • Microsoft rimuove 119 estensioni Edge con malware nascosto in immagini e font

Fonti

Fonti e riferimenti
  1. thehackernews.com
  2. welivesecurity.com
  3. therecord.media