Um grupo russo de ameaça persistente avançada (APT, na sigla em inglês para Advanced Persistent Threat) continuou a evoluir e a expandir seu arsenal de malware como parte de seu contínuo ataque cibernético contra a Ucrânia ao longo de 2025.
A empresa eslovaca de cibersegurança ESET afirmou ter observado 35 campanhas distintas de phishing direcionado (spear-phishing) realizadas pela Gamaredon contra novos alvos, com a maioria delas ocorrendo no segundo semestre do ano. Os principais alvos desses esforços incluem instituições governamentais e militares ucranianas.
"Ao longo de 2025, a Gamaredon permaneceu altamente ativa e continuou focada exclusivamente na Ucrânia", disse a ESET. "O objetivo final do grupo continua sendo a exfiltração de informações sensíveis e de outros dados críticos que poderiam ser explorados para apoiar os interesses russos na guerra em curso na Ucrânia."
As campanhas de phishing direcionado fazem uso de anexos em formato compactado ou de arquivos XHTML que empregam a técnica de smuggling em HTML (ocultação de cargas maliciosas dentro de conteúdo HTML aparentemente legítimo) para entregar downloaders maliciosos em HTA (HTML Application, ou Aplicativo HTML) responsáveis por soltar cargas adicionais, como o PteroSand. Alguns dos ataques também exploraram como arma uma falha já corrigida no WinRAR (identificada como CVE-2025-8088), usada como forma de inserir o downloader HTA malicioso na pasta de Inicialização do Windows da vítima.
Isso, por sua vez, faz com que o downloader seja executado automaticamente no próximo login, adicionando assim um mecanismo de persistência à cadeia de comprometimento. Os ataques da Gamaredon são conhecidos por depender de weaponizers (ferramentas que automatizam a transformação de arquivos comuns em vetores de infecção), como PteroLNK e PteroPaste, para facilitar o movimento lateral, infectando unidades USB e unidades de rede com arquivos LNK (atalhos do Windows) maliciosos que, ao serem abertos por um usuário desatento, acionam o download de malware do tipo downloader.
Também é utilizado o PteroSetup, um weaponizer mais antigo escrito em VBScript (Visual Basic Script) detectado pela primeira vez em janeiro de 2021 e que se presumia ter sido descontinuado. A ferramenta examina unidades USB e unidades de rede mapeadas em busca de arquivos instaladores legítimos e, caso os encontre, os substitui por arquivos compactados autoextratores (SFX, do inglês Self-Extracting) no formato 7z que contêm o instalador original e um downloader em VBScript malicioso.
"Em 2025, a dependência do grupo em serviços de terceiros cresceu significativamente, com serviços de tunelamento e plataformas de workers serverless (funções executadas sob demanda na nuvem, sem servidor fixo) se tornando uma parte cada vez mais importante de como ele ocultou sua real infraestrutura de back-end", disse a ESET.
Os ataques também se caracterizam pela introdução de seis novas ferramentas maliciosas em PowerShell, ampliando o arsenal personalizado de malware do grupo:
- PteroDee e PteroCache, para buscar e executar cargas de PowerShell na memória;
- PteroDum, para buscar e executar cargas em VBScript na memória;
- PteroOdd, para buscar uma única carga em PowerShell usando a API do Telegra.ph, provavelmente utilizado em campanhas nas quais os operadores da Gamaredon colaboraram com o grupo Turla;
- PteroEffigy, para buscar o servidor de comando e controle (C2) usando o serviço de armazenamento em nuvem GoFile;
- PteroPaste, para weaponizar unidades USB e baixar cargas adicionais em PowerShell por meio de um canal criptografado.
"Embora o grupo tenha feito uma curta pausa operacional em janeiro de 2025, a Gamaredon dedicou grande parte de seu esforço no primeiro semestre daquele ano ao desenvolvimento e à implantação de novas ferramentas", afirmou o pesquisador da ESET Zoltán Rusnák.
"Muitas atualizações foram feitas na véspera de grandes feriados na Rússia e na Crimeia. Notadamente, nenhuma atualização foi observada durante ou imediatamente após esses feriados, o que reforça a hipótese de que os operadores da Gamaredon são provavelmente funcionários vinculados ao governo."
Outro aspecto relevante da campanha do agente de ameaça gira em torno do uso de uma ampla variedade de serviços legítimos como canais de exfiltração de dados e como resolvedores de dead drops (pontos de encontro públicos usados para repassar informações de forma indireta), a fim de obter detalhes do servidor C2 e direcionar o malware para uma infraestrutura já oculta por trás de túneis ou de workers serverless. Entre eles estão:
- Telegra.ph
- Teletype
- Rentry.co
- Write.as
- Dropbox
- GoFile
- DEV Community (dev.to)
- Mastodon
- Lesma
- Nopaste.net
- Paste.ee
- Wasabi
- Tebi
- Intercolo
- Dropbox
"Como em anos anteriores, o grupo compensou a relativa simplicidade de seu malware com persistência, atualizações frequentes e um abuso cada vez mais criativo de serviços online legítimos", disse a ESET. "A Gamaredon ampliou ainda mais o uso de dead drops, túneis, workers, DNS dinâmico (serviço que permite atualizar em tempo real o endereço IP associado a um domínio) e armazenamento em nuvem, tornando suas operações mais flexíveis e mais difíceis de interromper."
