Nel 2024 il gruppo APT filo-russo ha colpito esclusivamente istituzioni ucraine con campagne di spearphishing intensificate, introducendo nuovi strumenti per elusione e persistenza e nascondendo l’infrastruttura C&C dietro tunnel Cloudflare e servizi terzi
ESET, leader europeo globale nel mercato della cybersecurity, ha pubblicato un white paper che analizza l’evoluzione della strumentazione del gruppo APT Gamaredon, le nuove tecniche orientate all’occultamento e le campagne di spearphishing sempre più aggressive condotte nel corso dell’anno.
Gamaredon è un gruppo APT attribuito dal Security Service of Ukraine (SSU) al 18th Center of Information Security del Federal Security Service (FSB) russo. È attivo almeno dal 2013 e da allora prende sistematicamente di mira istituzioni governative ucraine. Nel 2024, le attività del gruppo si sono concentrate esclusivamente su obiettivi in Ucraina. Secondo l’ultima analisi di ESET, il gruppo è tuttora estremamente attivo: continua a colpire il Paese, ma ha nel frattempo aggiornato in modo significativo tattiche e strumenti. Il suo obiettivo principale resta lo spionaggio informatico a supporto degli interessi geopolitici russi.
Lo scorso anno, Gamaredon ha aumentato in modo sensibile la portata e la frequenza delle campagne di spearphishing, adottando nuovi metodi di consegna. In almeno un caso, uno dei payload impiegati è stato utilizzato unicamente per diffondere contenuti di propaganda russa.
Le attività di spearphishing si sono intensificate soprattutto nella seconda metà del 2024. Le campagne duravano in genere da uno a cinque giorni consecutivi e prevedevano l’invio di email contenenti archivi dannosi (RAR, ZIP, 7z) o file XHTML che sfruttavano tecniche di HTML smuggling. Questi file distribuivano HTA o LNK malevoli, progettati per eseguire downloader VBScript incorporati, come PteroSand. Nell’ottobre 2024, ESET ha rilevato un’anomalia rispetto alle tattiche abituali del gruppo: le email di spearphishing contenevano link malevoli al posto dei classici allegati. Un’altra novità emersa nello stesso periodo è l’uso di file LNK per eseguire comandi PowerShell direttamente da domini generati tramite Cloudflare, con l’obiettivo di eludere i sistemi di rilevamento tradizionali.
Il toolset del gruppo ha subito aggiornamenti significativi. Sebbene siano stati introdotti pochi nuovi strumenti, Gamaredon ha dedicato risorse importanti al miglioramento di quelli esistenti. I nuovi tool sono progettati per garantire maggiore furtività, persistenza e capacità di movimento laterale. Gli strumenti già in uso sono stati potenziati con tecniche di offuscamento più sofisticate, strategie di elusione avanzate e metodi più efficaci per il movimento laterale e l’esfiltrazione dei dati.
“Una scoperta particolarmente interessante risale al luglio 2024, quando abbiamo rilevato un payload VBScript ad hoc distribuito dai downloader del gruppo. Non aveva alcuna funzionalità di spionaggio: il suo unico scopo era aprire automaticamente un canale Telegram chiamato Guardians of Odessa, utilizzato per diffondere propaganda filorussa mirata alla regione di Odessa”, spiega Zoltán Rusnák, ricercatore ESET che monitora le attività di Gamaredon.
Nel corso del 2024, il gruppo ha continuato a investire energie nell’elusione delle difese di rete. Sebbene in misura minore rispetto al passato, ha continuato a utilizzare tecniche di fast-flux DNS, con frequenti rotazioni degli indirizzi IP associati ai propri domini. Inoltre, ha fatto ricorso in modo crescente a servizi terzi come Telegram, Telegraph, Codeberg, Dropbox e ai tunnel Cloudflare per nascondere e distribuire in modo dinamico la propria infrastruttura C&C.
“Nonostante risorse tecniche relativamente limitate e l’abbandono di strumenti più datati, Gamaredon continua a rappresentare una minaccia significativa grazie alla costante innovazione, all’aggressività delle campagne di spearphishing e alla determinazione nel sottrarsi ai meccanismi di rilevamento. Finché proseguirà la guerra russa contro l’Ucraina, è prevedibile che il gruppo continuerà ad affinare le proprie tattiche e a intensificare le operazioni di cyberspionaggio contro le istituzioni ucraine”, conclude Rusnák.
