Sommario
Il gruppo russo Gamaredon, attribuito dall’intelligence ucraina al centro FSB 18, nel 2024 ha intensificato le sue campagne di cyber spionaggio contro enti governativi ucraini, abbandonando obiettivi NATO e concentrando la propria azione esclusivamente sull’Ucraina. Il nuovo toolset, orientato alla furtività, alla persistenza e alla mobilità laterale, si affida a delivery multicanale tramite spear phishing, link malevoli, archivi compressi e HTML smuggling per superare le difese tradizionali.
Tecniche di spear phishing e vettori d’infezione
Le campagne spear phishing del 2024 hanno raggiunto una frequenza e una scala senza precedenti, con ondate di email dannose della durata di uno-cinque giorni. I messaggi veicolano archivi RAR, ZIP e 7z o file XHTML che sfruttano HTML smuggling. I payload, come file HTA o LNK, attivano downloader VBScript (ad es. PteroSand) o PowerShell per recuperare malware aggiuntivi. Un cambiamento notevole è stato l’uso di malicious hyperlinks al posto degli allegati, e di LNK che eseguono comandi PowerShell da domini Cloudflare, eludendo controlli di sicurezza convenzionali.
Evoluzione del toolset: nuovi moduli e aggiornamenti alle TTP
Nel 2024 Gamaredon ha introdotto sei nuovi strumenti e aggiornato in modo significativo quelli esistenti. Tra i nuovi tool:
- PteroDespair, ricognizione PowerShell, raccoglie dati diagnostici su malware già installato.
- PteroTickle, weaponizer PowerShell, sfrutta applicazioni Python convertite in eseguibili (PyInstaller/Tkinter) per movimento laterale.
- PteroGraphin, tool di persistenza tramite Excel add-in e canale cifrato via Telegraph API.
- PteroStew e PteroQuark, downloader VBScript che occultano codice in alternate data stream di file benigni.
- PteroBox, file stealer via PowerShell con esfiltrazione su Dropbox, monitoraggio via WMI per nuove USB, tracking file sottratti.
Aggiornamenti agli strumenti esistenti hanno aumentato stealth e resilienza: PteroPSDoor ora sfrutta FileSystemWatcher e WMI per intercettare modifiche e inserimenti USB, con codice archiviato nel registry invece che su disco. PteroLNK weaponizer colpisce sia USB che network drive, con tecniche incrementali di obfuscation, LNK creation e registry-hiding. PteroVDoor aggiorna i C2 su piattaforme esterne (Codeberg), mentre PteroPSLoad usa tunnel Cloudflare per occultare quasi tutta l’infrastruttura di comando e controllo.
Infrastruttura C2 e tecniche anti-detection
Il gruppo ora nasconde quasi tutti i C2 dietro Cloudflare tunnel e subdomain dinamici, mentre le comunicazioni fallback sfruttano Telegram, Telegraph, Dropbox e Codeberg. DNS-over-HTTPS e resolver terzi (Google, Cloudflare, nslookup.io) permettono di aggirare blocchi di dominio. L’esecuzione di payload in directory temporanee e la distribuzione dinamica dei C2 complicano le attività di detection automatica.
Attività di influenza e propaganda embedded
Nel luglio 2024 Gamaredon ha anche utilizzato i propri downloaders per distribuire payload VBScript dedicati solo a diffondere canali Telegram di propaganda russa (ad esempio Guardians of Odessa), segnando una rara incursione nelle information operations rispetto alle classiche attività di spionaggio.
Minaccia persistente e in costante evoluzione
Gamaredon si conferma uno dei gruppi APT più dinamici nell’area russa, con capacità di adattamento rapido, delivery multi-vettore e focus esclusivo sull’Ucraina. L’adozione di tecniche di evasione come Cloudflare tunnel, DNS-over-HTTPS e repository dinamici per i C2 rende necessaria una difesa multilivello, aggiornata e focalizzata sulle nuove TTP del gruppo. Indicatori di compromissione aggiornati e approfondimenti tecnici sono disponibili nel white paper ESET e nella relativa repository IoC su GitHub.
