Gamaredon, il gruppo APT collegato all’FSB russo, continua a usare una struttura malware a Matryoshka per colpire target ucraini e occidentali con payload multi-livello capaci di scompattarsi progressivamente solo dopo verifiche ambientali. L’analisi pubblicata da Sekoia.io nella prima parte della serie FSB’s Matryoshka descrive una campagna persistente in cui GammaPhish avvia la compromissione tramite phishing mirato, mentre GammaWorm gestisce propagazione, persistenza e movimento laterale nella rete. Il modello operativo richiama la logica della matrioska russa: ogni componente contiene un altro livello cifrato, ogni stage controlla l’ambiente prima di procedere e il payload finale resta nascosto fino a quando il malware non conferma di trovarsi su un sistema interessante. Questa architettura riduce l’efficacia dell’analisi statica, complica il lavoro di sandbox, EDR e antivirus, e consente a Gamaredon di mantenere accessi di lungo periodo contro enti governativi, militari e infrastrutture critiche ucraine. La campagna risulta attiva dal 2024 e continua a evolversi nel 2025 e nel 2026, con estensione del targeting verso Paesi NATO e organizzazioni occidentali. L’attribuzione a Gamaredon viene confermata con alta confidenza grazie a TTP coerenti, infrastrutture condivise, targeting ucraino e tecniche di intelligence gathering compatibili con operazioni russe già osservate.
Cosa leggere
Matryoshka unpacking protegge il payload finale con layer cifrati
Il meccanismo Matryoshka unpacking rappresenta il cuore tecnico della campagna. Gamaredon inserisce il payload finale dentro più livelli cifrati, iniziando spesso da un file LNK o HTA che scarica uno stage successivo e attiva la catena di decodifica. Ogni layer verifica parametri ambientali come hostname, indirizzo IP, presenza di strumenti di analisi, driver virtualizzati o processi sospetti, e solo dopo queste verifiche decifra il contenuto successivo. Sekoia.io identifica almeno tre livelli prima del payload finale, con chiavi diverse derivate da dati dell’ambiente compromesso. Questa scelta impedisce di ricostruire facilmente il malware fuori dal contesto previsto e riduce il valore dei campioni isolati analizzati in laboratorio. L’unpacking avviene in memoria, così il malware lascia meno artefatti su disco e riduce la probabilità di rilevamento tramite firme tradizionali. La tecnica risulta particolarmente efficace contro difese basate su analisi statica, perché il payload pienamente operativo non compare immediatamente nel file iniziale. Il risultato è una catena modulare, opaca e resiliente, costruita per raggiungere solo sistemi target e per fermarsi quando rileva ambienti di analisi controllata.
GammaPhish apre la compromissione con phishing, LNK e mshta
GammaPhish svolge la funzione di accesso iniziale e viene distribuito tramite email di phishing mirato con allegati LNK o contenuti HTA. Gli attaccanti personalizzano i messaggi in lingua ucraina o russa per aumentare la probabilità di apertura da parte di funzionari, personale militare e operatori di infrastrutture critiche. Il file LNK contiene comandi che abusano di mshta.exe, un LOLBIN di Windows spesso utilizzato per eseguire script remoti e payload HTA senza apparire subito come un eseguibile sospetto. Una volta avviato, GammaPhish contatta server controllati da Gamaredon, verifica la presenza di sandbox e strumenti di analisi, quindi scarica un payload cifrato che avvia lo stage successivo della Matryoshka. Se il malware rileva un ambiente non idoneo, può terminare l’esecuzione o cancellare parte dei propri artefatti.
Questa fase è fondamentale perché consente al gruppo di selezionare i bersagli e ridurre il rumore operativo. Il phishing resta il vettore principale perché unisce basso costo, adattabilità linguistica e capacità di colpire direttamente utenti inseriti in enti pubblici, militari e reti sensibili.
GammaWorm garantisce propagazione, persistenza e movimento laterale
Dopo l’accesso iniziale, GammaWorm assume il ruolo di componente di propagazione e persistenza. Il malware si diffonde tramite condivisioni SMB, script PowerShell e abuso di credenziali memorizzate, cercando di spostarsi lateralmente all’interno della rete compromessa. Una volta installato, crea task pianificati, chiavi di registro e meccanismi di riattivazione che rendono la rimozione più difficile. GammaWorm comunica con il C2 attraverso canali cifrati, invia informazioni sul sistema infetto e può scaricare moduli aggiuntivi in tempo reale. Questa capacità di aggiornamento dinamico permette a Gamaredon di adattare il malware dopo la compromissione iniziale, aggiungendo funzionalità, cambiando endpoint, modificando configurazioni e mantenendo controllo anche quando una parte dell’infrastruttura viene bloccata.
La propagazione worm-like aumenta l’impatto operativo perché un singolo endpoint infetto può trasformarsi in punto di diffusione verso altri sistemi interni. In ambienti governativi o militari con reti complesse e segmentazione debole, GammaWorm può moltiplicare rapidamente la superficie compromessa e mantenere accesso persistente a documenti, credenziali e comunicazioni.
Infrastruttura C2 con domini .ru, .su e relay in Europa orientale
L’infrastruttura di comando e controllo di Gamaredon utilizza cluster di domini registrati di recente, in particolare domini .ru e .su, affiancati da server relay in Europa orientale e meccanismi di redirect per nascondere l’origine reale dei comandi. Sekoia.io identifica oltre 40 indicatori di compromissione, tra domini, IP e hash, associati alla catena GammaPhish e GammaWorm. I server possono rispondere solo a richieste provenienti da IP ucraini o da target selezionati, riducendo la visibilità per ricercatori esterni e sandbox automatizzate. Gamaredon aggiorna regolarmente gli URL e ruota infrastruttura per eludere blocchi, blacklist e regole statiche. Questa infrastruttura distribuita consente al gruppo di mantenere resilienza anche quando alcuni nodi vengono rimossi o sinkholati.
L’uso di proxy, relay e domini temporanei riflette una strategia operativa ormai consolidata, in cui la continuità della campagna conta più della stabilità del singolo server. Per i difensori, questo impone monitoraggio continuo di pattern comportamentali, risoluzioni DNS anomale, esecuzione di mshta.exe, traffico PowerShell e comunicazioni verso domini recenti con TLD compatibili con infrastrutture russe.
Target ucraini, NATO e infrastrutture critiche nel mirino
La campagna colpisce principalmente enti governativi, strutture militari e infrastrutture critiche ucraine, ma mostra estensioni verso organizzazioni NATO e fornitori di servizi europei. Gamaredon cerca documenti sensibili, credenziali, informazioni operative e dati di intelligence utili al contesto bellico e diplomatico. I moduli osservati raccolgono screenshot, dati di sistema, file locali e input da tastiera tramite keylogger, poi inviano i contenuti al C2 per analisi e sfruttamento successivo. La scelta dei bersagli conferma il profilo del gruppo: persistenza, spionaggio, raccolta documentale e accesso prolungato a reti istituzionali. Dal 2024 Sekoia.io osserva centinaia di vittime ucraine e una campagna che non si esaurisce in singoli episodi, ma resta operativa nel tempo. Questa persistenza rende Gamaredon una minaccia strutturale per Kiev e per gli alleati occidentali. L’estensione verso Paesi NATO segnala che il gruppo non punta solo al teatro ucraino, ma anche a reti diplomatiche, militari e infrastrutturali collegate alla risposta occidentale alla guerra.
Evasione EDR e anti-analisi rafforzano la resilienza del malware
Gamaredon usa tecniche di evasione avanzate per ridurre la visibilità della catena Matryoshka. Il malware controlla la presenza di EDR, sandbox, processi di analisi, ambienti virtualizzati, driver sospetti e configurazioni non coerenti con un sistema reale. Gli script e i payload sono pesantemente offuscati, mentre i layer cifrati si attivano solo dopo verifiche ambientali. GammaWorm evita l’esecuzione in contesti di analisi e sfrutta living-off-the-land binaries come mshta.exe e PowerShell per ridurre l’impronta malevola esplicita. Il gruppo aggiorna regolarmente loader e script per contrastare firme antivirus e regole statiche.
Questa evoluzione rende inefficace una difesa basata soltanto su hash o domini noti. Le organizzazioni devono monitorare sequenze di comportamento: apertura di file LNK, avvio anomalo di mshta.exe, download di HTA, esecuzione PowerShell, creazione di task pianificati, modifiche al registro e traffico verso infrastrutture sospette. La forza della campagna sta proprio nel combinare strumenti comuni di Windows con unpacking multilivello e propagazione worm-like.
IOC e misure difensive pubblicate da Sekoia.io
Sekoia.io pubblica indicatori di compromissione aggiornati per aiutare le organizzazioni a rilevare e contenere la campagna. Gli IOC includono hash di file LNK e HTA, domini C2, IP dei server, pattern di registro e artefatti creati da GammaWorm. Le raccomandazioni principali riguardano il blocco dei domini identificati, il monitoraggio dell’esecuzione di mshta.exe, l’applicazione di restrizioni sulle condivisioni SMB, il controllo degli script PowerShell e il rafforzamento del filtro email contro phishing in lingua ucraina e russa.
| Nome File Codificato (LNK) | Traduzione Italiana | Traduzione Inglese |
|---|---|---|
| бланк шапка.doc | modulo carta intestata.doc | letterhead template.doc |
| карта обліку.doc | scheda contabile.doc | registration card.doc |
| проект листа.doc | bozza di lettera.doc | draft letter.doc |
| відрядження.doc | trasferta lavorativa.doc | business trip.doc |
| рнбо.doc | rnbo.doc (Sicurezza Nazionale) | nsdc.doc |
| списання військового майна загиблих.doc | cancellazione beni militari del defunto.doc | write-off of military property of the deceased.doc |
| відомость роздавальна.doc | foglio di distribuzione.doc | distribution sheet.doc |
| таємно.doc | segreto.doc | secret.doc |
| 116_1_914 дск.doc | 116_1_914 dsk (Uso Interno).doc | 116_1_914 fouo.doc |
| Esche Multimediali (Immagini) | ||
| foto військовополоненого.jpeg | foto di prigioniero di guerra.jpeg | photo of prisoner of war.jpeg |
| foto di sperma in жопе.jpeg | foto di sperma nell’ano.jpeg | photo of sperm in anus.jpeg |
| згвалтування.jpeg | stupro.jpeg | rape.jpeg |
| поporno-photo.jpeg | porn-photo.jpeg | porn-photo.jpeg |
Analisi dei Lure: Gli artefatti mostrano una chiara combinazione di esche (lure) mirate. La prima metà utilizza tematiche militari/istituzionali ucraine classiche dello spionaggio cibernetico (documenti amministrativi, trasferte, registri dei caduti e documenti classificati). La seconda metà utilizza materiale shock e contenuti NSFW per provocare un’interazione emotiva o distrarre la vittima durante l’esecuzione del payload associato al file LNK.
Le organizzazioni devono aggiornare regole EDR, SIEM e sistemi di detection per riconoscere i nuovi pattern di Matryoshka unpacking. La difesa deve includere segmentazione di rete, least privilege, hardening delle condivisioni, disabilitazione o controllo severo dei LOLBIN abusati, formazione anti-phishing e analisi continua dei log. La condivisione degli IOC con la comunità resta essenziale perché Gamaredon aggiorna infrastruttura e payload con alta frequenza. Un approccio collaborativo aumenta la capacità di riconoscere cluster, pivot infrastrutturali e varianti emergenti.
Attribuzione al gruppo FSB e continuità operativa dal 2024
L’attribuzione a Gamaredon viene formulata con alta confidenza grazie alla sovrapposizione tra TTP, infrastrutture, target e tecniche già associate al gruppo legato all’FSB. Il targeting ucraino, l’uso di phishing localizzato, la persistenza tramite worm, l’abuso di strumenti Windows legittimi e la rotazione rapida dei domini rientrano pienamente nel profilo storico dell’attore. La campagna Matryoshka mostra continuità dal 2024 e un’evoluzione costante nel 2025 e nel 2026, con nuovi layer di unpacking, loader più raffinati e moduli di propagazione più resistenti. Il rapporto di Sekoia.io è solo la prima parte di una serie in tre capitoli, segnale che l’ecosistema malware del gruppo è più ampio dei soli GammaPhish e GammaWorm. La struttura Matryoshka rappresenta una scelta coerente anche sul piano simbolico e operativo: nascondere il payload in strati successivi, rendere l’analisi lenta e mantenere un vantaggio temporale sui difensori. Per le organizzazioni ucraine e occidentali, Gamaredon resta una minaccia persistente che richiede difesa continua, non risposta episodica.
Matryoshka conferma la minaccia persistente russa contro l’Ucraina
La campagna Matryoshka conferma che Gamaredon rimane uno dei vettori più attivi dello spionaggio russo contro l’Ucraina e contro l’ecosistema occidentale collegato al conflitto. GammaPhish fornisce accesso iniziale tramite phishing mirato, GammaWorm garantisce propagazione e persistenza, mentre l’unpacking multi-livello protegge il payload finale da analisi e rilevamento. L’impatto per le organizzazioni colpite può includere furto di documenti, compromissione di credenziali, accesso persistente, esfiltrazione di intelligence e preparazione di operazioni successive più invasive. La mitigazione richiede una difesa a più livelli fondata su segmentazione, controllo dei LOLBIN, monitoraggio delle email, detection comportamentale, hardening delle condivisioni SMB e aggiornamento costante degli IOC. La serie FSB’s Matryoshka di Sekoia.io offrirà ulteriori dettagli sui componenti della campagna, ma la prima parte basta già a chiarire il quadro: Gamaredon continua a evolvere, la pressione sull’Ucraina resta costante e la minaccia non riguarda solo singoli malware, ma un’intera architettura di intrusione costruita per durare nel tempo.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
