• In 2024 richtte Gamaredon zich opnieuw uitsluitend op Oekraïense overheidsinstellingen.
• De groep verhoogde de schaal en de frequentie van spearphishing-campagnes aanzienlijk met nieuwe distributiemethoden.
• Gamaredon gebruikte zes nieuwe malwaretools, gebaseerd op PowerShell en VBScript, die primair ontworpen zijn voor heimelijkheid, persistentie en laterale beweging.•
BRATISLAVA, 2 juli 2025 — ESET Research publiceert een witboek over Gamaredons vernieuwde toolset voor cyber-spionage, nieuwe heimelijkheidstechnieken en agressieve spearphishing-operaties die het afgelopen jaar zijn waargenomen. Gamaredon, door de Oekraïense Veiligheidsdienst (SSU) gelinkt aan het 18e Centrum voor Informatiebeveiliging van de Russische Federale Veiligheidsdienst (FSB), richt zich al sinds 2013 op Oekraïense overheidsinstellingen. In 2024 viel het uitsluitend Oekraïense instellingen aan. Het meest recente ESET-onderzoek zegt dat de groep zeer actief is en zich op Oekraïne richt met tactieken en tools die aanzienlijk werden aangepast. Hun doel: cyber-spionage die aansluit bij de Russische geopolitieke belangen. Vorig jaar vergrootte de groep de schaal en de frequentie van spearphishing-campagnes aanzienlijk door nieuwe distributiemethoden te gebruiken. Eén aanvalslading werd uitsluitend gebruikt om Russische propaganda te verspreiden.
De spearphishing-activiteiten van Gamaredon namen aanzienlijk toe in de tweede helft van 2024. Campagnes duurden één tot vijf dagen, met e-mails die kwaadaardige archieven (RAR, ZIP, 7z) of XHTML-bestanden bevatten die HTML-smokkeltechnieken gebruikten. Deze bestanden leverden kwaadaardige HTA- of LNK-bestanden die ingebedde VBScript-downloaders uitvoerden, zoals PteroSand. In oktober 2024 zag ESET een zeldzaam geval waarbij spearphishing-e-mails kwaadaardige hyperlinks bevatten in plaats van bijlagen, wat afwijkt van de gebruikelijke tactieken van Gamaredon. Deze introduceerde ook een nieuwe techniek: het gebruik van kwaadaardige LNK-bestanden om PowerShell-opdrachten rechtstreeks uit te voeren vanaf door Cloudflare gegenereerde domeinen zodat sommige traditionele detectiemechanismen omzeild werden.
Gamaredon’s toolset onderging verschillende updates. Minder nieuwe tools werden geïntroduceerd, maar er werd aanzienlijk geïnvesteerd in het updaten en verbeteren van bestaande tools. Nieuwe tools werden voornamelijk ontworpen voor heimelijkheid, persistentie en laterale verplaatsing. Bestaande tools kregen belangrijke upgrades, waaronder verbeterde verduistering en heimelijkheids-tactieken, alsook meer gesofisticeerde methoden voor laterale verplaatsing en data-exfiltratie.
“Een bijzonder intrigerende ontdekking in juli 2024 was een unieke ad-hoc VBScript-payload, aangeleverd door Gamaredon-downloaders. Deze payload had geen spionagefunctie; het enige doel was om ‘Guardians of Odessa’, een Telegram-propaganda-kanaal dat pro-Russische berichten verspreidt, gericht op de Odessa- regio,automatisch te openen”, aldus ESET-onderzoeker Zoltán Rusnák, specialist in de activiteiten van Gamaredon.
Gamaredon richtte zich in 2024 steeds meer op het omzeilen van netwerk-gebaseerde verdedigingen. De groep bleef, op kleinere schaal, gebruikmaken van fast-flux DNS-technieken, waarbij IP-adressen achter domeinen een regelmatige rotatie ondergingen. Gamaredon vertrouwde steeds meer op diensten zoals Telegram, Telegraph, Codeberg, Dropbox en Cloudflare om zijn C&C-infrastructuur te verbergen en dynamisch te distribueren.
“Ondanks de zichtbare capaciteitsbeperkingen en het verwijderen van oudere tools, blijft Gamaredon een belangrijke bedreiging door zijninnovatie, agressieve spearphishing-campagnes en aanhoudende pogingen om detectie te omzeilen. Zolang de Russische oorlog tegen Oekraïne voortduurt, verwachten we dat Gamaredon zijn tactieken verder zal ontwikkelen en zijn cyber-spionage activiteiten tegen Oekraïense instellingen zal opdrijven”, aldus Rusnák.
Lees voor een meer gedetailleerde en technische analyse van de Gamaredon-toolset het nieuwste witboek van ESET Research, “Gamaredon in 2024: Spearphishing-campagnes tegen Oekraïne met een geëvolueerde toolset” op www.welivesecurity.com . Volg op X, BlueSky, en Mastodon de nieuwste info overESET Research.
Meer lezen