Gamaredon 20225-ös kampányai
Az ESET kutatása szerint az orosz Gamaredon APT-csoport 2025-ben is kizárólag ukrán kormányzati és katonai szervezeteket vett célba, miközben jelentősen továbbfejlesztette eszköztárát és infrastruktúráját. A kutatók 35 különálló spearphishing kampányt, hat új PowerShell-alapú eszközt, valamint a korábban már ismert PteroSetup újraélesztését dokumentálták. A csoport egyre nagyobb mértékben támaszkodik legitim felhőszolgáltatásokra infrastruktúrája elrejtéséhez, a Cloudflare Tunnels, Cloudflare Workers, Microsoft Dev Tunnels és Loophole szolgáltatásokat használja a C2 kommunikáció elfedésére, míg a kiszivárogtatott adatokat Wasabi, Tebi és Intercolofelhőtárolókba továbbítja. Emellett üzenetküldő, közösségi média-, blog- és paste szolgáltatásokat is úgynevezett dead drop resolverként alkalmaz a C2-címek és új payloadok terjesztésére, jelentősen megnehezítve az infrastruktúra blokkolását.
A jelentés egyik legfontosabb megállapítása, hogy az ESET újabb bizonyítékot talált a Gamaredon és a Turla együttműködésére. A vizsgált incidensek során a Gamaredon biztosította a kezdeti hozzáférést ukrán célpontokhoz, amelyet később a Turla saját Kazuar implantátumának telepítésére használt fel. Ez arra utal, hogy az orosz állami hátterű csoportok között egyre gyakoribb a feladatmegosztás és az együttműködés a hírszerzési műveletek során. Az ESET részletes technikai elemzést, új IOC-kat is közzétett, amelyek támogatják a Gamaredon folyamatosan fejlődő infrastruktúrájának és eszközkészletének felderítését.
