LitterDrifter
A CheckPoint szerint a Gamaredon, más néven Primitive Bear, ACTINIUM és Shuckworm, az orosz kémkedési rendszer egyedülálló szereplője, amely szinte kizárólag ukrán szervezetek széles körét veszi célba. Míg a kutatók gyakran küzdenek az orosz kémtevékenységek bizonyítékainak feltárásával, a Gamaredon elég feltűnő. A mögötte álló csoport nagyszabású kampányokat folytat, miközben továbbra is elsősorban regionális célpontokra összpontosít. Az Ukrán Biztonsági Szolgálat (SSU) a Gamaredon személyzetét az orosz Szövetségi Biztonsági Szolgálat (FSZB) szervezeteként azonosította. A rosszindulatú programokkal foglalkozó kutatók az Egyesült Államokban, Ukrajnában, Németországban, Vietnamban, Lengyelországban, Chilében és Hongkongban találtak kihasználásra utaló jeleket, ami arra utal, hogy a fenyegetett csoport elvesztette az irányítást a LittleDrifter felett, amely nem kívánt célpontokat ért el.
A Gamaredon nagyszabású kampányait általában konkrét célpontokra irányuló adatgyűjtési erőfeszítések követik, amelyek kiválasztását valószínűleg kémkedési célok motiválják. Ezek az erőfeszítések párhuzamosan zajlanak a különböző mechanizmusok és eszközök alkalmazásával, amelyek célja, hogy a lehető legnagyobb hozzáférést tartsák fenn ezekhez a célpontokhoz. Az egyik ilyen eszköz egy USB-n terjedő féreg, amelyet LitterDrifter-nek neveztünk el.
A LitterDrifter worm VBS-ben íródott, és két fő funkciója van: automatikus terjedés USB-meghajtókon keresztül, valamint kommunikáció a parancs- és vezérlő szerverek széles és rugalmas készletével. Ezeket a funkciókat a csoport céljaihoz igazodó módon valósították meg, hatékonyan fenntartva egy tartós parancsnoki és irányítási (C2) csatornát a célpontok széles skáláján. A LitterDrifter egy korábban bejelentett tevékenység továbbfejlesztésének tűnik, amely a Gamaredon csoportot egy terjedő USB Powershell féreghez köti.