Il gruppo hacker Gamaredon si concentra su obiettivi ucraini

Durante lo scorso anno il gruppo ha colpito esclusivamente istituzioni governative e militari dell’Ucraina.

hacker

Il report di ESET dedicato alle attività nel 2025 di Gamaredon, analizza sia i nuovi strumenti del gruppo di hacker, collegato all’FSB, sia i cambiamenti nel modo in cui protegge la sua infrastruttura di rete.

Per tutto il 2025, Gamaredon è stato molto attivo e ha continuato a concentrarsi esclusivamente sull’Ucraina, Allineando le proprie attività agli obiettivi geopolitici della Russia e prendendo di mira le istituzioni governative e militari ucraine per ottenere un vantaggio in termini di intelligence.

Chi si nasconde dietro Gamaredon

All’inizio del 2025, Gamaredon ha collaborato con Turla, altro threat actor allineato alla Russia. Questa cooperazione sottolinea il potenziale di operazioni di cyber spionaggio tra gruppi allineati alla Russia, destinate probabilmente ad amplificare il loro impatto operativo. In passato, Gamaredon ha collaborato anche con InvisiMole, threat actor scoperto da ESET. Più in generale, il 2025 ha fornito un altro esempio di cooperazione e condivisione dei compiti tra attori allineati alla Russia. ESET ha osservato il gruppo UAC-0099, allineato alla Russia, condurre operazioni di accesso iniziale e successivamente trasferire gli obiettivi convalidati a Sandworm per attività di follow-up.

Più spear phishing e strumenti personalizzati per il movimento laterale

Nella seconda metà dell’anno, Gamaredon si è orientato maggiormente verso campagne di spear phishing più estese e frequenti. Il cambiamento più evidente ha riguardato il ritmo. Il gruppo è risultato molto più attivo nella seconda metà dell’anno, quando le campagne sono diventate sia più frequenti che di maggiore portata. Oltre allo spear phishing, Gamaredon ha continuato a utilizzare strumenti personalizzati per il movimento laterale. Questi strumenti trasformano in armi le chiavette USB, le unità di rete mappate e persino i programmi di installazione del software. Aiutando così il gruppo a diffondersi all’interno o tra le organizzazioni dopo la compromissione iniziale.

Gli aggiornamenti del gruppo hacker Gamaredon

Nel 2025 Gamaredon ha presentato 6 nuovi strumenti, tutti scritti in PowerShell: PteroDee, PteroCache, PteroDum, PteroOdd, PteroPaste e PteroEffigy. Tra questi spicca PteroPaste, che è notevolmente più complesso rispetto agli altri. Combina un downloader, uno strumento di weaponizzazione USB e un componente di esecuzione utilizzato per la persistenza e l’orchestrazione. Inoltre, ha riportato in auge un vecchio strumento di weaponizzazione basato su VBScript – PteroSetup, apparso per la prima volta nel 2021.  Inoltre, gli hacker di Gamaredon hanno cercato nuovi modi per proteggere la propria infrastruttura di rete, nascondendo i propri server C&C dietro vari servizi di terze parti. Ad esempio tunnel, worker, DDNS (DNS dinamico) e PaaS (platform as a service).

Utilizzare i metodi dello spionaggio tradizionale in modo ‘creativo’

Uno degli aspetti più importanti delle operazioni del gruppo nel 2025 è stato l’ampio ricorso verso servizi dead-drop. Il termine deriva dallo spionaggio tradizionale. Ovvero: invece di incontrarsi direttamente, un agente lascia delle informazioni in un luogo pubblico o nascosto e un altro le recupera in un secondo momento. Online, il principio è simile. Anziché incorporare direttamente il vero server dannoso nel malware, gli operatori collocano tali informazioni su un sito web o una piattaforma legittima e il malware le recupera da lì.

Hacker Gamaredon aggiorna i file stealer PteroPSDoor e PteroVDoor

L’altro importante cambiamento a livello di infrastruttura osservato da ESET ha riguardato l’esfiltrazione dei dati. Gamaredon ha aggiornato due dei suoi principali file stealer, PteroPSDoor e PteroVDoor, per caricare i file rubati su servizi di archiviazione cloud compatibili con S3. Ovvero provider che supportano l’API Amazon S3 (Wasabi, Tebi e Intercolo), consentendo così agli stessi strumenti e codice di funzionare con diversi storage vendor. Allo stesso tempo, PteroBox ha continuato a caricare file su Dropbox.

Perché ricorrere a servizi di terze parti

Il caricamento dei file rubati su servizi di archiviazione cloud riduce la necessità per Gamaredon di mantenere una propria infrastruttura per la ricezione di grandi quantità di dati rubati. Inoltre, contribuisce a far passare inosservato il traffico dannoso, confondendolo con l’accesso a legittimi storage providers. In sostanza, Gamaredon ricorre sempre più spesso a servizi di terze parti non solo per nascondere la provenienza delle istruzioni, ma anche per occultare la destinazione dei dati rubati.