A ciberespionagem tem sido uma característica constante da guerra da Rússia contra a Ucrânia. A equipe de pesquisa da ESET acompanha há anos o Gamaredon, um dos grupos de ameaças persistentes avançadas (APT) alinhados à Rússia mais ativos em ataques contra a Ucrânia. O grupo, atribuído pelo Serviço de Segurança da Ucrânia (SSU) ao 18º Centro de Segurança da Informação do FSB russo, manteve um alto ritmo operacional durante todo o ano de 2025.

Em nossa pesquisa mais recente, analisamos a atividade do Gamaredon ao longo de 2025, incluindo os novos componentes incorporados ao seu arsenal, mudanças significativas na forma como protege sua infraestrutura de rede e o uso cada vez maior de serviços legítimos de terceiros para ocultar tanto as informações de comando e controle (C&C) quanto os dados roubados. Os detalhes técnicos completos estão disponíveis em nosso white paper mais recente.

Principais pontos desta publicação:

  • Ao longo de 2025, o Gamaredon teve como foco exclusivo órgãos governamentais e militares da Ucrânia.
  • Observamos 35 campanhas diferentes de spearphishing direcionadas a novos alvos. A maioria das campanhas ocorreu na segunda metade do ano e foi significativamente mais ampla do que as anteriores.
  • Outros alvos foram comprometidos por meio de múltiplos weaponizers personalizados, desenvolvidos para movimentação lateral.
  • Os operadores do Gamaredon desenvolveram e implementaram novas ferramentas em PowerShell, analisadas em nosso white paper, além de reativarem um antigo weaponizer em VBScript: o PteroSetup.
  • Os file stealers PteroVDoor e PteroPSDoor foram atualizados para permitir a exfiltração de dados para serviços de armazenamento em nuvem (Wasabi, Tebi e Intercolo), que passaram a ser o principal método de exfiltração.
  • Os operadores do Gamaredon buscaram novas formas de proteger sua infraestrutura de rede, ocultando seus servidores de C&C por trás de diversos serviços de terceiros, como túneis, workers , DDNS (DNS dinâmico) e PaaS (plataforma como serviço).
  • O grupo também explorou diversos serviços legítimos de mensagens, redes sociais, blogs e serviços de paste como dead drops para resolver servidores de C&C e distribuir cargas maliciosas.

O white paper é a terceira publicação aprofundada na qual descrevemos as táticas, técnicas e procedimentos (TTPs) desse grupo, que acredita-se operar a partir da Crimeia ocupada. Em setembro de 2024, publicamos um white paper que aborda as atividades do Gamaredon durante 2022 e 2023, Cyberespionage the Gamaredon way: Analysis of toolset used to spy on Ukraine in 2022 and 2023, e, em julho de 2025, publicamos outro white paper que analisa as atividades do Gamaredon em 2024, Gamaredon in 2024: Cranking out spearphishing campaigns against Ukraine with an evolved toolset.

Exfiltração contínua de dados e uma nova aliança

Ao longo de 2025, o Gamaredon manteve um alto nível de atividade e continuou focando exclusivamente na Ucrânia. O objetivo final do grupo permanece sendo a exfiltração de informações sensíveis e outros dados críticos que possam ser explorados para apoiar os interesses russos no conflito em andamento na Ucrânia. As atividades do Gamaredon parecem estar estreitamente alinhadas aos objetivos geopolíticos da Rússia, ao direcionar ataques contra órgãos governamentais e militares ucranianas para obter vantagem em termos de inteligência.

Novas ferramentas e cooperação na primeira metade do ano

Embora o grupo tenha feito uma breve pausa operacional em janeiro de 2025, o Gamaredon dedicou grande parte de seus esforços durante a primeira metade do ano ao desenvolvimento e à implementação de novas ferramentas. Nós as descrevemos na seção Seis novas ferramentas, com foco principal na entrega desta publicação. Embora não forneçamos marcas de tempo exatas para todas as mudanças introduzidas no conjunto de ferramentas do grupo, observamos que muitas atualizações foram realizadas no período que antecedeu feriados importantes na Rússia e na Crimeia. Vale destacar que não foram detectadas atualizações durante ou imediatamente após esses feriados, o que reforça a hipótese de que os operadores do Gamaredon provavelmente sejam funcionários ligados ao governo.

De forma significativa, descobrimos que, no início de 2025, o Gamaredon colaborou com o Turla, outro grupo de ameaças alinhado à Rússia e também associado ao FSB. Documentamos essas descobertas em nossa publicação Colaboração entre Gamaredon e Turla. Essa cooperação reforça o potencial de campanhas de ciberespionagem coordenadas entre grupos alinhados à Rússia, com o objetivo de ampliar seu impacto operacional. No passado, o Gamaredon também colaborou com outro ator de ameaça identificado por nós e denominado InvisiMole.

De forma mais ampla, 2025 também trouxe outro exemplo de cooperação e divisão de tarefas entre grupos alinhados à Rússia: observamos que o grupo UAC-0099, alinhado à Rússia, realizou operações de acesso inicial e, posteriormente, transferiu alvos validados para o Sandworm para atividades posteriores. Documentamos essas descobertas no ESET APT Activity Report Q2 2025–Q3 2025.

Campanhas de spearphishing mais amplas e frequentes na segunda metade do ano

Durante a segunda metade do ano, o grupo passou a realizar campanhas de spearphishing maiores e mais frequentes. Ao longo de 2025, identificamos 35 dessas campanhas. Assim como nos anos anteriores, a maioria utilizou arquivos compactados ou arquivos XHTML que empregavam HTML smuggling para entregar downloaders HTA maliciosos, que, por sua vez, baixavam o downloader em VBScript PteroSand e cargas adicionais (payloads). Também observamos campanhas que provavelmente utilizaram hiperlinks maliciosos em vez de arquivos anexos.

A Figura 1 apresenta um gráfico com amostras únicas de downloaders HTA entregues por mês nas campanhas de spearphishing do Gamaredon. É importante destacar que esses números representam valores mínimos em relação às tentativas de spearphishing, pois um mesmo downloader HTA pode ser direcionado a várias pessoas, e uma mesma pessoa pode ser alvo de diversas campanhas dentro do mesmo mês.

Figure 1. Unique Gamaredon spearphishing samples seen per month
Figura 1. Amostras únicas de spearphishing do Gamaredon detectadas por mês.

A mudança mais significativa foi observada no ritmo operacional. O Gamaredon esteve muito mais ativo na segunda metade do ano, período em que as campanhas se tornaram mais frequentes e de maior escala.

No final do ano, o grupo também introduziu uma nova técnica: a partir de 26 de setembro de 2025, passou a explorar a vulnerabilidade CVE-2025-8088 no WinRAR para colocar seu habitual downloader HTA malicioso na pasta Inicialização da vítima. Isso permitiu que o downloader fosse executado no próximo login, adicionando persistência a uma cadeia de comprometimento que anteriormente dependia mais da interação do usuário.

Weaponizers para movimentação além do sistema comprometido

Além do spearphishing, o Gamaredon também continuou utilizando weaponizers personalizados para movimentação lateral. Essas ferramentas transformam unidades USB, unidades de rede mapeadas e até instaladores de software em vetores de propagação, ajudando o grupo a se espalhar dentro de uma organização ou entre diferentes organizações após o comprometimento inicial.

Seis novas ferramentas, com foco principalmente na entrega

O Gamaredon introduziu seis novas ferramentas em 2025, todas desenvolvidas em PowerShell. Cinco delas surgiram no primeiro trimestre do ano, o que sugere que o grupo dedicou os primeiros meses de 2025 à criação de novas cadeias de entrega, antes de direcionar maior atenção para campanhas de spearphishing em larga escala durante a segunda metade do ano.

A maioria dessas novas ferramentas é relativamente simples:

  • PteroDee e PteroCache são downloaders simples desenvolvidos em PowerShell para obter e executar payloads de PowerShell em memória.
  • PteroDum desempenha uma função semelhante, mas para payloads em VBScript: grava os arquivos temporariamente em disco, executa-os e, em seguida, os remove.
  • PteroOdd é um downloader muito pequeno usado para recuperar um único payload de PowerShell por meio da API do Telegra.ph e, com base no que foi observado, parece ter sido utilizado principalmente em casos relacionados à colaboração do Gamaredon com o Turla.
  • PteroEffigy é outro downloader leve, que se destaca principalmente por utilizar o serviço de armazenamento em nuvem GoFile para obter o próximo servidor de C&C.

A ferramenta mais relevante entre as novas é o PteroPaste, que é consideravelmente mais complexa do que as demais. Ela combina um downloader, um weaponizer USB e um componente runner utilizado para persistência e orquestração. As primeiras versões do PteroPaste utilizavam o Rentry como ponto intermediário de staging para payloads criptografados. As versões posteriores abandonaram essa abordagem e passaram a recuperar um nome de host de C&C criptografado a partir do Dropbox, realizando a descriptografia localmente e, em seguida, conectando-se a uma infraestrutura oculta por trás de serviços de túneis. O PteroPaste também é uma das ferramentas envolvidas na colaboração entre Gamaredon e Turla que documentamos em 2025.

O Gamaredon também reintroduziu o PteroSetup, um antigo weaponizer em VBScript que provavelmente havia sido descontinuado anos atrás. A versão reativada analisa unidades fixas, removíveis e de rede em busca de arquivos executáveis com aparência de instaladores e os substitui por arquivos autoextraíveis maliciosos que contêm tanto o instalador original quanto um downloader malicioso em VBScript. Para a vítima, o arquivo continua parecendo legítimo, mas, ao executá-lo, ele inicia tanto o instalador esperado quanto o código malicioso.

Em conjunto, as novas adições ao arsenal do Gamaredon seguem um padrão que já observamos anteriormente: em vez de investir em malware altamente sofisticado, o grupo prefere contar com uma quantidade maior de ferramentas simples, que podem ser atualizadas rapidamente e combinadas de forma flexível.

As principais atualizações em ferramentas já conhecidas, como PteroLNK, PteroPSLoad, PteroPSDoor, PteroVDoor e PteroBox, estão disponíveis no white paper.

Infraestrutura de rede avançada

O Gamaredon continuou aperfeiçoando suas técnicas para proteger sua infraestrutura de rede e ocultar seus servidores de C&C. Em 2025, a dependência do grupo de serviços de terceiros cresceu significativamente, e os serviços de túneis e as plataformas de workers serverless passaram a desempenhar um papel cada vez mais importante na ocultação de sua infraestrutura de back-end.

Os serviços de túneis são ferramentas legítimas que permitem expor um sistema ou uma aplicação à internet por meio de um domínio controlado pelo provedor, sem revelar diretamente o servidor real. Os workers cumprem uma função semelhante, mas vão além: em vez de apenas encaminhar o tráfego, são plataformas serverless capazes de executar código e processar solicitações antes de redirecioná-las. Na prática, ambas as tecnologias ajudam a ocultar a infraestrutura subjacente e dificultam as ações de interrupção da operação maliciosa.

Túneis, workers e o retorno ao DDNS

No final de 2024, o Gamaredon já dependia fortemente dos túneis do Cloudflare (trycloudflare.com) para ocultar sua infraestrutura. Em 2025, o grupo expandiu ainda mais essa estratégia. Em maio, começamos a observar que os servidores de C&C passaram a ser ocultados por trás dos Cloudflare Workers (workers.dev), e, em junho, o grupo incorporou também o Microsoft Dev Tunnels (devtunnels.ms) e o Loophole (loophole.site). Esses serviços eram frequentemente utilizados em conjunto, com um deles atuando como principal canal de comunicação e os demais funcionando como mecanismos de redundância.

Em alguns casos isolados, também observamos testes com outros serviços de túneis, como loca.lt e bore.pub, mas eles não parecem ter sido incorporados de forma permanente ao arsenal do grupo.

O Gamaredon também retomou uma técnica que já foi uma de suas principais características operacionais: o DNS dinâmico (DDNS). Após vários anos priorizando domínios registrados, o grupo voltou a utilizar domínios do No-IP em diversas ferramentas, especialmente nos downloaders HTA distribuídos por meio de campanhas de spearphishing. Paralelamente, observamos que o Gamaredon passou a abusar de ofertas de plataforma como serviço (PaaS) da Clever Cloud (cleverapps.io) e da Supabase (supabase.co) em diversas campanhas. Isso sugere que o grupo continua buscando ativamente infraestrutura de baixo custo, descartável e capaz de se misturar ao tráfego legítimo da internet.

Aproveitando um antigo conceito de espionagem: os dead drops

Um dos aspectos mais importantes das operações do Gamaredon em 2025 foi o uso intensivo dos chamados serviços de dead drop. O termo tem origem na espionagem tradicional: em vez de se encontrarem diretamente, um agente deixa informações em um local público ou oculto para que outro as recupere posteriormente. No ambiente digital, o princípio é semelhante. Em vez de incorporar diretamente o endereço do servidor malicioso ao malware, os operadores armazenam essa informação em um site ou plataforma legítima, e o malware a recupera a partir desse local. Assim, o malware pode acessar primeiro uma página pública em um serviço legítimo, ler um valor oculto ou previamente preparado (staged) e só então se conectar ao servidor real de comando e controle (C&C).

Essa abordagem oferece diversas vantagens aos cibercriminosos. Ela torna as operações mais flexíveis, permitindo a troca rápida de servidores, e também dificulta as ações de bloqueio, já que os defensores tendem a evitar o bloqueio de serviços legítimos e amplamente utilizados.

Em 2025, o Gamaredon abusou de diversos serviços dessa forma, incluindo canais do Telegram (por meio do t.me, o serviço oficial de encurtamento de URLs da plataforma), publicações no Telegra.ph (telegra.ph) e no Teletype (teletype.in), além de rentry.cowrite.as, Dropbox, GoFile, as redes sociais DEV Community (dev.to) e Mastodon (mastodon.social), Lesma (lesma.eu), NoPaste (nopaste.net) e Paste.ee (pastee.dev). Em alguns casos, esses serviços foram utilizados para publicar informações atualizadas dos servidores de C&C. Em outros, serviram para distribuir payloads ou dados de configuração relacionados ao armazenamento em nuvem.

Em comparação com 2024, também observamos uma mudança na forma como o Gamaredon passou a utilizar esses dead drops. Em vez de publicar simplesmente endereços IP dos servidores de C&C, os operadores passaram a usá-los, cada vez mais, para direcionar o malware a uma infraestrutura que já estava oculta por trás de serviços de túneis ou workers. Em outras palavras, o dead drop deixou, em muitos casos, de apontar diretamente para o servidor real, passando a indicar uma camada intermediária adicional de sua infraestrutura.

O armazenamento em nuvem tornou-se o canal preferencial para exfiltração

Outra mudança importante na infraestrutura observada ocorreu na exfiltração de dados. O Gamaredon atualizou dois de seus principais file stealers, PteroPSDoor e PteroVDoor, para enviar arquivos roubados a serviços de armazenamento em nuvem compatíveis com Amazon S3. Esses provedores oferecem suporte à API do Amazon S3, permitindo que as mesmas ferramentas e o mesmo código funcionem com diferentes serviços de armazenamento. Ao longo do ano, as configurações migraram do Wasabi (wasabisys.com) para o Tebi (tebi.io) e, posteriormente, para o Intercolo (de-fra.i3storage.com), que, em dezembro, tornou-se o principal destino para a exfiltração de dados.

Ao mesmo tempo, o PteroBox continuou enviando arquivos para o Dropbox, e uma variante mais recente passou a utilizar a ferramenta rclone para realizar esse processo.

O envio de arquivos roubados para serviços de armazenamento em nuvem reduz a necessidade de o Gamaredon manter sua própria infraestrutura para receber grandes volumes de dados exfiltrados. Além disso, essa estratégia ajuda a disfarçar o tráfego malicioso em meio ao acesso legítimo a provedores de armazenamento em nuvem.

Em essência, o Gamaredon utiliza cada vez mais serviços de terceiros não apenas para ocultar a origem das instruções enviadas ao malware, mas também para esconder o destino dos dados roubados.

Conclusão

O Gamaredon manteve seu foco exclusivo em operações de ciberespionagem contra a Ucrânia ao longo de 2025, e nada na telemetria da ESET indica que esse cenário deva mudar no curto prazo.

Embora as seis novas ferramentas introduzidas em 2025 sejam, em sua maioria, downloaders simples, o desenvolvimento mais relevante foi a evolução contínua da infraestrutura que sustenta as operações do grupo. O Gamaredon ampliou ainda mais o uso de dead drops, túneis, workers, DNS dinâmico e serviços de armazenamento em nuvem, tornando suas operações mais flexíveis e mais difíceis de interromper.

Assim como nos anos anteriores, o grupo compensou a relativa simplicidade de seu malware com persistência, atualizações frequentes e um uso cada vez mais criativo e abusivo de serviços online legítimos. Enquanto a guerra da Rússia contra a Ucrânia continuar, esperamos que o Gamaredon permaneça como uma ameaça significativa de ciberespionagem para as instituições ucranianas.

Indicadores de Comprometimento (IoCs)

Uma lista completa de IoCs está disponível em nosso repositório no GitHub e no relatório técnico sobre o Gamaredon.