ESET Research analiza el conjunto de herramientas actualizadas de ciberespionaje de Gamaredon, las nuevas técnicas centradas en el sigilo y las agresivas operaciones de spearphishing observadas a lo largo de 2024

Desde la invasión a gran escala de Ucrania por parte de Rusia en febrero de 2022, el ciberespionaje ha desempeñado un papel crucial en el panorama general de las amenazas. Los grupos de amenazas persistentes avanzadas (APT) alineados con Rusia han atacado sin descanso a entidades ucranianas, empleando ciberataques junto con campañas de desinformación. ESET Research ha monitoreado de cerca estas actividades, documentando regularmente operaciones cibernéticas llevadas a cabo por varios actores de amenazas, incluido el muy activo grupo Gamaredon.

Puntos clave de este blogpost:
  • Gamaredon se centró exclusivamente en atacar instituciones gubernamentales ucranianas en 2024, abandonando intentos anteriores contra países de la OTAN.
  • El grupo aumentó significativamente la escala y frecuencia de las campañas de spearphishing, empleando nuevos métodos de entrega como hipervínculos maliciosos y archivos LNK que ejecutan PowerShell desde dominios alojados en Cloudflare.
  • Gamaredon introdujo seis nuevas herramientas de malware, aprovechando PowerShell y VBScript, diseñadas principalmente para el sigilo, la persistencia y el movimiento lateral.
  • Las herramientas existentes recibieron importantes actualizaciones, como una mayor ofuscación, tácticas de ocultación mejoradas y métodos sofisticados para el movimiento lateral y la filtración de datos.
  • Los operadores de Gamaredon consiguieron ocultar casi toda su infraestructura de C&C tras túneles de Cloudflare.
  • Gamaredon dependía cada vez más de servicios de terceros (Telegram, Telegraph, Cloudflare, Dropbox) y de DNS sobre HTTPS (DoH) para proteger su infraestructura de C&C.

En nuestro blog anterior Cyberespionage the Gamaredon way: Analysis of toolset used to spy on Ukraine in 2022 and 2023, describimos las agresivas actividades de ciberespionaje de Gamaredon contra instituciones gubernamentales ucranianas. Como parte de nuestra investigación continuada, hemos llevado a cabo un análisis técnico exhaustivo de las operaciones de Gamaredon a lo largo de 2024. Los resultados detallados y las perspectivas técnicas están disponibles en nuestro último libro blanco.

Nuestra investigación muestra que el grupo sigue siendo muy activo, apuntando constantemente a Ucrania, pero ha adaptado notablemente sus tácticas y herramientas.

Ucrania como objetivo exclusivo

Gamaredon, atribuido por el Servicio de Seguridad de Ucrania (SSU) al 18º Centro de Seguridad de la Información del Servicio Federal de Seguridad de Rusia (FSB), ha tenido como objetivo instituciones gubernamentales ucranianas desde al menos 2013. Mientras que en años anteriores hubo intentos ocasionales contra objetivos en otros países de la OTAN, durante 2024 los operadores de Gamaredon volvieron a centrarse exclusivamente en las instituciones ucranianas.

Esto concuerda en gran medida con el objetivo histórico del grupo como actor de ciberespionaje alineado con los intereses geopolíticos rusos. Dada la guerra en curso y las tensiones geopolíticas, esperamos que el objetivo de Gamaredon en Ucrania continúe sin cambios en el futuro previsible.

Las campañas de spearphishing son cada vez mayores y más frecuentes

Las actividades de spearphishing de Gamaredon se intensificaron significativamente durante el segundo semestre de 2024. Las campañas solían durar de uno a cinco días consecutivos, con correos electrónicos que contenían archivos maliciosos (RAR, ZIP, 7z) o archivos XHTML que empleaban técnicas de contrabando de HTML. Estos archivos entregaban archivos maliciosos HTA o LNK que ejecutaban descargadores VBScript incrustados como PteroSand. La figura 1 muestra el número de muestras únicas de estos archivos HTA y LNK entregados al mes en las campañas de spearphishing de Gamaredon en 2024.

Figure 1. Unique Gamaredon spearphishing samples seen per month
Figura 1. Muestras únicas de spearphishing de Gamaredon vistas al mes

Sorprendentemente, en octubre de 2024, observamos un raro caso en el que los correos electrónicos de spearphishing incluían hipervínculos maliciosos en lugar de archivos adjuntos, una desviación de las tácticas habituales de Gamaredon. Además, Gamaredon introdujo otra técnica novedosa: el uso de archivos LNK maliciosos para ejecutar comandos PowerShell directamente desde dominios generados por Cloudflare, eludiendo algunos mecanismos de detección tradicionales.

Evolución del conjunto de herramientas: Nuevas herramientas y mejoras significativas

El conjunto de herramientas de Gamaredon experimentó notables actualizaciones. Aunque se introdujeron menos herramientas nuevas (seis frente a las ocho de 2022 y las nueve de 2023), se dedicaron importantes recursos a actualizar y mejorar las herramientas existentes:

Las nuevas herramientas introducidas en 2024 incluyen:

  • PteroDespair: Una herramienta de reconocimiento PowerShell de corta duración descubierta en enero de 2024, desarrollada para recopilar datos de diagnóstico sobre malware previamente desplegado.
  • PteroTickle: Un weaponizer PowerShell descubierto en marzo de 2024, dirigido a aplicaciones Python convertidas en ejecutables en unidades fijas y extraíbles, facilitando el movimiento lateral. Utiliza secuencias de comandos Tcl que suelen encontrarse en aplicaciones GUI de Python que utilizan Tkinter y se crean con PyInstaller.
  • PteroGraphin: Descubierta en agosto de 2024, esta herramienta de PowerShell utilizaba inicialmente un método de persistencia poco común que implicaba complementos de Microsoft Excel. Crea un canal de comunicación cifrado para la entrega de la carga útil, a través de la API Telegraph. Versiones posteriores simplificaron la persistencia utilizando tareas programadas.
  • PteroStew: Un nuevo descargador VBScript de propósito general descubierto en octubre de 2024, similar a los descargadores conocidos anteriormente (por ejemplo, PteroSand, PteroRisk), pero que almacena su código en flujos de datos alternativos asociados con archivos benignos en el sistema de la víctima.
  • PteroQuark: Otro descargador VBScript descubierto en octubre de 2024, introducido como un nuevo componente dentro de la versión VBScript del weaponizer PteroLNK.
  • PteroBox: Un ladrón de archivos PowerShell descubierto en noviembre de 2024, muy parecido a PteroPSDoor pero que filtra los archivos robados a Dropbox. Aprovecha las suscripciones a eventos WMI para detectar unidades USB recién insertadas y extrae los archivos seleccionados utilizando la API de Dropbox. Los archivos robados se rastrean meticulosamente para evitar cargas redundantes, lo que pone de relieve la creciente atención de Gamaredon al sigilo y la eficacia.

Principales actualizaciones de las herramientas existentes en 2024

Además de las nuevas herramientas, los operadores de Gamaredon actualizaron significativamente las herramientas existentes en su arsenal:

  • PteroPSDoor: Una importante actualización introdujo técnicas avanzadas de ocultación, como la supervisión de los cambios de archivos a través del objeto IO.FileSystemWatcher en lugar de escanear continuamente los directorios, lo que reduce significativamente la visibilidad. También implementó suscripciones a eventos WMI para detectar nuevas inserciones USB, haciendo que la exfiltración de archivos sea más específica y sigilosa. Además, las últimas versiones almacenan el código exclusivamente en claves de registro en lugar de en archivos, lo que complica aún más la detección.
  • PteroLNK (versión VBScript): Esta herramienta fue mejorada a principios de 2024 para convertir en armas no sólo las unidades USB, sino también las unidades de red mapeadas, ampliando sus capacidades de movimiento lateral. A lo largo de la segunda mitad de 2024, recibió múltiples actualizaciones incrementales, incluida una ofuscación mejorada, métodos más complejos para la creación de archivos LNK y técnicas basadas en el registro para ocultar archivos y extensiones de archivos a las víctimas. Este weaponizer se ha convertido en una de las herramientas de Gamaredon más actualizadas y mantenidas activamente.
  • PteroVDoor: Este ladrón de archivos VBScript siguió utilizándose en dos variantes (ofuscado y no ofuscado). A lo largo de 2024, los operadores de Gamaredon actualizaron repetidamente la herramienta, introduciendo nuevas plataformas externas como los repositorios de Codeberg para distribuir dinámicamente la información del servidor de comando y control (C&C), complicando las medidas defensivas.
  • PteroPSLoad: Gamaredon volvió a utilizar túneles Cloudflare en lugar de ngrok para su infraestructura de C&C. Esto marcó el comienzo de Gamaredon ocultando casi toda su infraestructura de C&C detrás de dominios generados por Cloudflare, mejorando significativamente su seguridad operativa.

Cargas inusuales: ¿Propaganda rusa a través de malware?

Un hallazgo particularmente intrigante fue el descubrimiento en julio de 2024 de una carga útil VBScript ad hoc única, entregada por descargadores de Gamaredon. Esta carga no tenía ninguna función de espionaje, sino que su único propósito era abrir automáticamente un canal de propaganda de Telegram llamado Guardians of Odessa, que difunde mensajes prorrusos dirigidos a la región de Odessa. Aunque inusual para las operaciones típicas de Gamaredon, atribuimos esta carga útil a Gamaredon con gran confianza.

Infraestructura de red y técnicas de evasión

A lo largo de 2024, Gamaredon mostró una persistente dedicación a evadir las defensas basadas en la red:

  • El grupo continuó, aunque a escala reducida, aprovechando las técnicas de DNS de flujo rápido, rotando con frecuencia las direcciones IP detrás de sus dominios. Sin embargo, el número de dominios que registró disminuyó notablemente, pasando de más de 500 en 2023 a unos 200 en 2024.
  • Gamaredon dependía cada vez más de servicios de terceros como Telegram, Telegraph, Codeberg y túneles de Cloudflare para ofuscar y distribuir dinámicamente su infraestructura de C&C. Los subdominios generados por Cloudflare se convirtieron en los principales puntos de comunicación del grupo, mientras que los dominios tradicionales quedaron relegados a un segundo plano.
  • Múltiples servicios de DoH (Google y Cloudflare) y sitios web de resolución de terceros (como nslookup.io, who.is, dnswatch.info y check-host.net) se utilizaron regularmente para eludir el bloqueo basado en dominios.
  • Gamaredon también introdujo nuevas técnicas, como la colocación de archivos HTA y VBScript incrustados en directorios temporales y su ejecución por separado para resolver los dominios de C&C, lo que complicó aún más los esfuerzos de detección automática.

A pesar de las limitaciones de capacidad observables y del abandono de herramientas antiguas, Gamaredon sigue siendo un actor de amenazas significativo debido a su continua innovación, sus agresivas campañas de spearphishing y sus persistentes esfuerzos por eludir las detecciones. Mientras continúe la guerra de Rusia contra Ucrania, prevemos que Gamaredon evolucionará constantemente sus tácticas e intensificará sus operaciones de ciberespionaje contra las instituciones ucranianas.

Para obtener un desglose técnico detallado de las actividades, actualizaciones y análisis de malware de Gamaredon 2024, lea nuestro informe técnico completo.

En nuestro repositorio de GitHub y en el libro blanco de Gamaredon encontrará una lista completa de indicadores de compromiso (IoC).