El ciberespionaje ha sido una característica constante de la guerra de Rusia contra Ucrania. ESET Research ha seguido durante años a Gamaredon, uno de los grupos de amenazas persistentes avanzadas (APT) alineados con Rusia más activos en ataques contra Ucrania. El grupo, atribuido por el Servicio de Seguridad de Ucrania (SSU) al 18.º Centro de Seguridad de la Información del FSB ruso, mantuvo un alto ritmo operativo durante todo 2025.

En nuestra investigación más reciente, analizamos la actividad de Gamaredon a lo largo de 2025, incluidos los nuevos componentes incorporados a su arsenal, cambios significativos en la forma en que protege su infraestructura de red y el uso cada vez mayor de servicios legítimos de terceros para ocultar tanto la información de comando y control (C&C) como los datos robados. Los detalles técnicos completos están disponibles en nuestro white paper más reciente.

Puntos clave de esta publicación:
  • A lo largo de 2025, Gamaredon se centró exclusivamente en instituciones gubernamentales y militares de Ucrania.
  • Observamos 35 campañas distintas de spearphishing contra nuevos objetivos. La mayoría de las campañas se llevaron a cabo en la segunda mitad del año y fueron significativamente más amplias que las anteriores.
  • Otros objetivos se vieron comprometidos a través de múltiples weaponizers personalizados diseñados para el movimiento lateral.
  • Los operadores de Gamaredon desarrollaron e implementaron en PowerShell, que analizamos en nuestro white paper, y reactivaron un weaponizer antiguo en VBScript: PteroSetup.
  • Los file stealers PteroVDoor y PteroPSDoor se actualizaron para admitir la exfiltración hacia servicios de almacenamiento en la nube (Wasabi, Tebi e Intercolo), que pasaron a ser el principal método de exfiltración.
  • Los operadores de Gamaredon buscaron nuevas formas de proteger su infraestructura de red, ocultando ahora sus servidores de C&C detrás de diversos servicios de terceros, como túneles, workers, DDNS (DNS dinámico) y PaaS (plataforma como servicio).
  • Los operadores de Gamaredon buscaron nuevas formas de proteger su infraestructura de red, y ahora sus servidores C&C se ocultan tras diversos servicios de terceros, como túneles, workers, DDNS (DNS dinámico) y PaaS (plataforma como servicio).
  • También abusaron de múltiples servicios legítimos de mensajería, redes sociales, blogs y paste services como dead drops para resolver servidores de C&C y distribuir cargas maliciosas.

El white paper es la tercera entrega en profundidad en la que describimos las tácticas, técnicas y procedimientos (TTPs) de este grupo, que se cree opera desde la Crimea ocupada. En septiembre de 2024 publicamos un white paper que cubre las actividades de Gamaredon durante 2022 y 2023 —Cyberespionage the Gamaredon way: Analysis of toolset used to spy on Ukraine in 2022 and 2023— y en julio de 2025 publicamos un white paper que analiza las actividades de Gamaredon en 2024 —Gamaredon in 2024: Cranking out spearphishing campaigns against Ukraine with an evolved toolset—.

Exfiltración continua de datos y una nueva alianza

A lo largo de 2025, Gamaredon se mantuvo altamente activo y continuó enfocándose exclusivamente en Ucrania. El objetivo final del grupo sigue siendo la exfiltración de información sensible y otros datos críticos que puedan explotarse para respaldar los intereses rusos en el conflicto en curso en Ucrania. Las actividades de Gamaredon parecen estar estrechamente alineadas con los objetivos geopolíticos de Rusia, al apuntar contra instituciones gubernamentales y militares ucranianas para obtener una ventaja en materia de inteligencia.

Nuevas herramientas y cooperación en la primera mitad del año

Si bien el grupo tomó una breve pausa operativa en enero de 2025, Gamaredon dedicó gran parte de sus esfuerzos durante la primera mitad del año al desarrollo y despliegue de nuevas herramientas. Las describimos en la sección Seis nuevas herramientas, principalmente enfocadas en la entrega de esta publicación. Aunque no proporcionamos marcas de tiempo exactas para todos los cambios introducidos en el conjunto de herramientas del grupo, observamos que muchas actualizaciones se realizaron en el período previo a feriados importantes en Rusia y Crimea. Cabe destacar que no se detectaron actualizaciones durante ni inmediatamente después de estos feriados, lo que refuerza la hipótesis de que los operadores de Gamaredon probablemente sean empleados afiliados al gobierno.

De manera destacada, descubrimos que a comienzos de 2025 Gamaredon colaboró con Turla, otro actor de amenazas alineado con Rusia y también vinculado al FSB; documentamos estos hallazgos en nuestra publicación Colaboración entre Gamaredon y Turla. Esta cooperación subraya el potencial de campañas de ciberespionaje coordinadas entre grupos alineados con Rusia, con el objetivo de amplificar su impacto operativo. En el pasado, Gamaredon también colaboró con un actor de amenazas que descubrimos y denominamos InvisiMole.

En un plano más amplio, 2025 también aportó otro ejemplo de cooperación y reparto de tareas entre actores alineados con Rusia: observamos que el grupo UAC-0099, alineado con Rusia, llevó a cabo operaciones de acceso inicial y posteriormente transfirió objetivos validados a Sandworm para actividades posteriores. Documentamos estos hallazgos en el ESET APT Activity Report Q2 2025–Q3 2025.

Campañas de spearphishing más amplias y frecuentes en la segunda mitad del año

Durante la segunda mitad del año, el grupo viró hacia campañas de spearphishing más grandes y frecuentes; a lo largo de 2025 identificamos 35 de estas campañas. Al igual que en años anteriores, la mayoría utilizó archivos comprimidos o archivos XHTML que empleaban HTML smuggling para entregar downloaders HTA maliciosos, los cuales a su vez descargaban el downloader en VBScript PteroSand y payloads adicionales. También observamos campañas que probablemente utilizaron hipervínculos maliciosos en lugar de archivos adjuntos.

La Figura 1 muestra un gráfico de muestras únicas de downloaders HTA entregadas por mes en las campañas de spearphishing de Gamaredon. Cabe aclarar que estas cifras representan mínimos en cuanto a intentos de spearphishing, ya que un mismo downloader HTA puede apuntar a múltiples personas, y una misma persona puede ser objetivo de varias campañas dentro del mismo mes.

Figure 1. Unique Gamaredon spearphishing samples seen per month
Figura 1. Muestras únicas de spearphishing de Gamaredon detectadas por mes

Lo que cambió de manera más notoria fue el ritmo operativo. Gamaredon estuvo mucho más activo en la segunda mitad del año, período en el que las campañas se volvieron tanto más frecuentes como de mayor escala. Hacia finales del año, el grupo también introdujo una nueva técnica: a partir del 26 de septiembre de 2025, comenzó a abusar de CVE-2025-8088, una vulnerabilidad en WinRAR, para colocar su habitual downloader HTA malicioso en la carpeta Inicio de la víctima. Esto permitió que el downloader se ejecutara en el siguiente inicio de sesión, agregando persistencia a una cadena de compromiso que anteriormente dependía en mayor medida de la interacción del usuario.

Weaponizers para el movimiento más allá del sistema comprometido

Más allá del spearphishing, Gamaredon también continuó utilizando weaponizers personalizados para el movimiento lateral. Estas herramientas weaponizan unidades USB, unidades de red mapeadas e incluso instaladores de software, lo que ayuda al grupo a propagarse dentro de una organización o entre distintas organizaciones tras el compromiso inicial.

Seis nuevas herramientas, principalmente enfocadas en la entrega

Gamaredon introdujo seis nuevas herramientas en 2025, todas escritas en PowerShell. Cinco de ellas aparecieron en el primer trimestre del año, lo que sugiere que el grupo dedicó los primeros meses de 2025 a construir nuevas cadenas de entrega antes de centrar más su atención en campañas de spearphishing a gran escala durante la segunda mitad del año.

La mayoría de estas nuevas herramientas son relativamente sencillas:

  • PteroDee y PteroCache son downloaders sencillos en PowerShell para obtener y ejecutar payloads de PowerShell en memoria.
  • PteroDum cumple una función similar, pero para payloads en VBScript: los escribe temporalmente en disco, los ejecuta y luego los elimina.
  • PteroOdd es un downloader muy pequeño utilizado para recuperar un único payload de PowerShell a través de la API de Telegra.ph y, según lo observado, parece haber sido usado principalmente en casos vinculados con la colaboración de Gamaredon con Turla.
  • PteroEffigy es otro downloader liviano, destacable principalmente por utilizar el servicio de almacenamiento en la nube GoFile para obtener el siguiente servidor de C&C.

La herramienta más destacada entre las nuevas es PteroPaste, que es considerablemente más compleja que las demás. Combina un downloader, un weaponizer USB y un componente runner utilizado para persistencia y orquestación. Las primeras versiones de PteroPaste utilizaban Rentry como punto intermedio de staging para payloads cifrados. Las versiones posteriores abandonaron ese enfoque y, en su lugar, recuperan un nombre de host de C&C cifrado desde Dropbox, lo descifran localmente y luego se conectan a infraestructura oculta detrás de servicios de túneles. PteroPaste también es una de las herramientas involucradas en la colaboración Gamaredon–Turla que documentamos en 2025.

Gamaredon también reintrodujo PteroSetup, un weaponizer antiguo en VBScript que probablemente había sido discontinuado años atrás. La versión reactivada analiza unidades fijas, extraíbles y de red en busca de archivos ejecutables con apariencia de instaladores y los reemplaza por archivos autoextraíbles maliciosos que contienen tanto el instalador original como un downloader malicioso en VBScript. Para la víctima, el archivo sigue pareciendo legítimo, pero al ejecutarlo se lanzan tanto el instalador esperado como el código malicioso.

En conjunto, las nuevas incorporaciones al arsenal de Gamaredon encajan en un patrón que ya hemos observado anteriormente: en lugar de invertir en malware altamente sofisticado, el grupo prefiere contar con una mayor cantidad de herramientas simples que puedan actualizarse rápidamente y combinarse de manera flexible.

Las actualizaciones importantes de herramientas ya conocidas, como PteroLNK, PteroPSLoad, PteroPSDoor, PteroVDoor y PteroBox, pueden encontrarse en el white paper.

Infraestructura de red avanzada

Gamaredon continuó perfeccionando sus técnicas para proteger su infraestructura de red y ocultar sus servidores de C&C. En 2025, la dependencia del grupo de servicios de terceros creció de forma significativa, y los servicios de túneles y las plataformas de workers serverless pasaron a ser una parte cada vez más importante de la forma en que ocultaba su infraestructura real de back-end.

Los servicios de túneles son herramientas legítimas que permiten exponer un sistema o una aplicación a internet a través de un dominio controlado por el proveedor, sin revelar directamente el servidor real. Los workers cumplen una función similar, pero van un paso más allá: en lugar de limitarse a reenviar tráfico, son plataformas serverless que pueden ejecutar código y procesar solicitudes antes de redirigirlas. En la práctica, ambos ayudan a ocultar la infraestructura subyacente y dificultan las tareas de interrupción.

Túneles, workers y el regreso al DDNS

Para finales de 2024, Gamaredon ya dependía en gran medida de los túneles de Cloudflare  (trycloudflare.com) para ocultar su infraestructura, y en 2025 amplió aún más este enfoque. En mayo, comenzamos a observar que el grupo ocultaba servidores de C&C detrás de workers de Cloudflare (workers.dev), y en junio añadió devtunnels.ms de Microsoft y Loophole (loophole.site). Estos servicios a menudo se utilizaban en conjunto, con uno actuando como canal principal de comunicación y otros como mecanismos de respaldo.

En algunos casos aislados, también observamos experimentos con otros servicios de túneles, como loca.lt y bore.pub, pero estos no parecieron incorporarse de manera permanente al conjunto de herramientas del grupo.

Gamaredon también retomó una técnica que alguna vez fue un sello distintivo de sus operaciones: el DNS dinámico (DDNS). Tras varios años de depender más de dominios registrados, el grupo volvió a utilizar dominios de No-IP en múltiples herramientas, especialmente en downloaders HTA entregados mediante campañas de spearphishing. En paralelo, observamos que Gamaredon abusó de ofertas de plataforma como servicio (PaaS) de Clever Cloud (cleverapps.io) y Supabase (supabase.co) en varias campañas, lo que sugiere que el grupo sigue buscando activamente infraestructura barata, descartable y que se mimetice con el tráfico legítimo.

Aprovechamiento de un antiguo concepto de espionaje: los dead drops

Uno de los aspectos más importantes de las operaciones de Gamaredon en 2025 fue su uso intensivo de los llamados servicios de dead drop. El término proviene del espionaje tradicional: en lugar de reunirse directamente, un operativo deja información en un lugar público u oculto y otro la recupera más tarde. En el entorno online, el principio es similar. En vez de incrustar directamente el servidor malicioso real en el malware, los operadores colocan esa información en un sitio web o plataforma legítimos, y el malware la recupera desde allí. Esto significa que el malware puede contactar primero una página pública en un servicio legítimo, leer un valor oculto o preparado (staged) y solo entonces conectarse al servidor real de C&C.

Este enfoque otorga varias ventajas a los atacantes. Hace que sus operaciones sean más flexibles, ya que pueden cambiar de servidor rápidamente. También complica el bloqueo, porque los defensores pueden mostrarse reacios a bloquear de forma directa servicios legítimos y de uso extendido.

En 2025, Gamaredon abusó de numerosos servicios de esta manera: canales de Telegram (a través de t.me, el servicio oficial de acortamiento de URLs de Telegram), publicaciones en las plataformas Telegra.ph (telegra.ph) y Teletype (teletype.in), rentry.co, write.as, Dropbox,  GoFile, las redes sociales DEV Community (dev.to) y Mastodon (mastodon.social), lesma (lesma.eu), nopaste.net y Paste.ee (pastee.dev).. En algunos casos, estos servicios se utilizaron para publicar información de C&C actualizada. En otros, se usaron para entregar payloads o datos de configuración de almacenamiento en la nube.

En comparación con 2024, también observamos un cambio en la forma en que Gamaredon utilizó estos dead drops. En lugar de publicar simplemente direcciones IP crudas de C&C, los operadores los usaron cada vez más para dirigir el malware hacia infraestructura que ya estaba oculta detrás de túneles o workers. En otras palabras, el dead drop a menudo ya no revelaba directamente el servidor real, sino que apuntaba a otra capa intermedia.

El almacenamiento en la nube se convirtió en el canal de exfiltración preferido

El otro cambio importante de infraestructura que observamos se dio del lado de la exfiltración de datos. Gamaredon actualizó dos de sus file stealers principales, PteroPSDoor y PteroVDoor, para subir archivos robados a servicios de almacenamiento en la nube compatibles con S3: proveedores que admiten la API de Amazon S3, lo que permite que las mismas herramientas y el mismo código funcionen con distintos proveedores de almacenamiento. A lo largo del año, las configuraciones migraron de  Wasabi (wasabisys.com) a Tebi (tebi.io) y, posteriormente, a Intercolo (de-fra.i3storage.com), que para diciembre se había convertido en el destino principal de exfiltración.

Al mismo tiempo, PteroBox continuó subiendo archivos a Dropbox, y una variante más reciente utilizó la herramienta rclonepara hacerlo.

La carga de archivos robados en servicios de almacenamiento en la nube reduce la necesidad de que Gamaredon mantenga su propia infraestructura para recibir grandes volúmenes de datos sustraídos. También ayuda a que el tráfico malicioso se mezcle con el acceso a proveedores de almacenamiento legítimos. En esencia, Gamaredon utiliza cada vez más servicios de terceros no solo para ocultar de dónde provienen las instrucciones, sino también para ocultar hacia dónde se dirigen los datos robados.

Conclusión

Gamaredon continuó enfocando su actividad de ciberespionaje exclusivamente en Ucrania a lo largo de 2025, y nada en la telemetría de ESET sugiere que esto vaya a cambiar en el corto plazo.

Si bien las seis nuevas herramientas introducidas en 2025 fueron, en su mayoría, downloaders simples, el desarrollo más relevante fue la evolución continua de la infraestructura que respalda las operaciones del grupo. Gamaredon amplió aún más su uso de dead drops, túneles, workers, DNS dinámico y almacenamiento en la nube, lo que volvió sus operaciones más flexibles y más difíciles de interrumpir.

Al igual que en años anteriores, el grupo compensó la relativa simplicidad de su malware con persistencia, actualizaciones frecuentes y un uso cada vez más creativo y abusivo de servicios online legítimos. Mientras continúe la guerra de Rusia contra Ucrania, esperamos que Gamaredon siga representando una amenaza significativa de ciberespionaje para las instituciones ucranianas.

IoC

Se puede consultar una lista exhaustiva de indicadores de compromiso (IoC) en nuestro repositorio de GitHub y en el informe técnico sobre Gamaredon.