ESET Research Analiza el conjunto de herramientas cibernéticas actualizadas de Gamaredon, nuevas técnicas centradas en el sigilo y operaciones agresivas de lanza observadas a lo largo de 2024 02 de julio de 2025 •, 6 min. Leído desde la invasión a gran escala de Rusia de Ucrania en febrero de 2022, el ciberespionaje ha jugado un papel crucial en el paisaje de amenazas más amplio. Los grupos avanzados de amenaza persistente (APT) alineada en Rusia han dirigido implacablemente a entidades ucranianas, empleando ataques cibernéticos junto con campañas de desinformación. ESET Research ha monitoreado de cerca estas actividades, documentando regularmente operaciones cibernéticas llevadas a cabo por varios actores de amenazas, incluido el grupo de Gamaredón altamente activo. Puntos clave de esta publicación de blog: Gamaredon reenfocado exclusivamente en atacar a las instituciones gubernamentales ucranianas en 2024, abandonando intentos anteriores contra los países de la OTAN. El grupo aumentó significativamente la escala y la frecuencia de las campañas de Spearphishing, empleando nuevos métodos de entrega, como hipervínculos maliciosos y archivos LNK, ejecutando PowerShell a partir de dominios alojados en Cloudflare. Gamaredon introdujo seis nuevas herramientas de malware, aprovechando PowerShell y VBScript, diseñados principalmente para el sigilo, la persistencia y el movimiento lateral. Las herramientas existentes recibieron actualizaciones importantes, incluida la ofuscación mejorada, las tácticas de sigilo mejoradas y los métodos sofisticados para el movimiento lateral y la exfiltración de datos. Los operadores de Gamaredon lograron ocultar casi toda su infraestructura de C&C detrás de Cloudflare Tunnels. Gamaredon se basó cada vez más en servicios de terceros (Telegram, Telegraph, Cloudflare, Dropbox) y DNS-Over-HTTPS (DOH) para proteger su infraestructura de C&C. En nuestro blog Post anterior, Cyberespionage the Gamaredon Way: Analysis of Toolset Spy en Ucrania en 2022 y 2023, describimos las agresivas actividades cibernéticas de CiberSión de Gamaredón contra las instituciones gubernamentales ucranianas. Como parte de nuestra investigación continua, hemos realizado un análisis técnico exhaustivo de las operaciones de Gamaredon a lo largo de 2024. Los resultados detallados y las ideas técnicas están disponibles en nuestro último documento blanco. Nuestra investigación muestra que el grupo sigue siendo altamente activo, apuntando constantemente a Ucrania, pero ha adaptado notablemente sus tácticas y herramientas. Dirigido a Ucrania exclusivamente a Gamaredon, atribuido por el Servicio de Seguridad de Ucrania (SSU) al 18º Centro de Seguridad de la Información del Servicio Federal de Seguridad (FSB) de Rusia, ha atacado a las instituciones gubernamentales ucranianas desde al menos 2013. Mientras que los años anteriores vieron intentos ocasionales contra los objetivos en otros países de la OTAN, durante 2024 operadores de Gamaredón devueltos exclusivamente a las instituciones ukránianas ocasionales. Esto se alinea fuertemente con el objetivo histórico del grupo como actor cibernético alineado con los intereses geopolíticos rusos. Dada la guerra en curso y las tensiones geopolíticas, esperamos que la orientación de Ucrania de Gamaredon continúe sin cambios en el futuro previsible. Las campañas de Spearphishing se crecen significativamente las actividades de Spearphishing de Gamaredon más frecuentes durante la segunda mitad de 2024. Las campañas generalmente duraron de uno a cinco días consecutivos, con correos electrónicos que contienen archivos maliciosos (RAR, Zip, 7Z) o archivos XHTML que emplean técnicas de contrabando HTML. Estos archivos entregaron archivos HTA o LNK maliciosos que ejecutaron descargadores VBScript integrados como Pterosand. La Figura 1 muestra el número de muestras únicas de esos archivos HTA y LNK entregados por mes en las campañas de Spearphishing en Gamaredon en 2024. Figura 1. Muestras de lanza de Gamaredon únicas vistas por mes Sorprendentemente, en octubre de 2024, observamos un caso raro en el que los correos electrónicos de espiga incluían hiperlinks maliciosos en lugar de los apuestos, una desviación de los tácticos habituales de Gamar. Además, Gamaredon introdujo otra técnica novedosa: el uso de archivos LNK maliciosos para ejecutar comandos de PowerShell directamente de dominios generados por CloudFlare, sin pasar por algunos mecanismos de detección tradicionales. Evolución del conjunto de herramientas: nuevas herramientas y mejoras significativas El conjunto de herramientas de Gamaredon experimentó actualizaciones notables. Si bien se introdujeron menos nuevas herramientas (seis en comparación con ocho en 2022 y nueve en 2023), los recursos sustanciales se produjeron para actualizar y mejorar las herramientas existentes: las nuevas herramientas introducidas en 2024 incluyen: Pterodespair: una herramienta de reconocimiento de potencia de corta duración descubierta en enero de 2024, desarrolladas para recopilar datos de diagnóstico sobre malware previamente implementados. PTEROTICKLE: un armador PowerShell descubierto en marzo de 2024, dirigido a las aplicaciones de Python convertidas en ejecutables en unidades fijas y extraíbles, facilitando el movimiento lateral. Arma los guiones TCL típicamente que se encuentran en las aplicaciones de GUI de Python usando Tkinter y construidos con Pyinstaller. PTEROGRAGIN: Descubierto en agosto de 2024, esta herramienta PowerShell inicialmente utilizó un método de persistencia poco común que involucra a los complementos de Microsoft Excel. Crea un canal de comunicación cifrado para la entrega de carga útil, a través de la API de Telegraph. Las versiones posteriores simplificaron la persistencia mediante el uso de tareas programadas en su lugar. PTeroTew: un nuevo descargador de VBScript de uso general descubierto en octubre de 2024, similar a los descargadores previamente conocidos (por ejemplo, Pterosand, Pterorisk), pero eso almacena especialmente su código en flujos de datos alternativos asociados con archivos benignos en el sistema de la víctima. PTeroquark: otro descargador de VBScript descubierto en octubre de 2024, presentado como un nuevo componente dentro de la versión VBScript del armador Pterolnk. PTEROBOX: Un robador de archivos PowerShell descubierto en noviembre de 2024, parecido estrechamente a Pteropsdoor pero exfiltrando archivos robados a Dropbox. Aprovecha las suscripciones de eventos WMI para detectar unidades USB recién insertadas y exfiltrata archivos seleccionados utilizando la API de Dropbox. Los archivos robados se rastrean meticulosamente para evitar cargas redundantes, destacando la creciente atención de Gamaredon al sigilo y la eficiencia. Las principales actualizaciones de las herramientas existentes en 2024, además de las nuevas herramientas, los operadores de Gamaredon actualizaron significativamente las herramientas existentes en su Arsenal: PterOpsdoor: una actualización importante introdujo técnicas de sigilo avanzadas, como los cambios de archivos de monitoreo a través del objeto IO.FilesSystemWatcher en lugar de directorios de escaneo continuo, redonda significativamente la visibilidad. También implementó suscripciones de eventos WMI para detectar nuevas inserciones USB, haciendo que la exfiltración de archivos sea más dirigida y más sigilosa. Además, las últimas versiones almacenan código exclusivamente en claves de registro en lugar de en archivos, lo que complica aún más la detección. Pterolnk (versión VBScript): esta herramienta se mejoró a principios de 2024 para armar no solo unidades USB sino también unidades de red asignadas, ampliando sus capacidades de movimiento lateral. A lo largo de la segunda mitad de 2024, recibió múltiples actualizaciones incrementales, incluida una ofuscación mejorada, métodos más complejos para la creación de archivos LNK y técnicas basadas en el registro para ocultar archivos y extensiones de archivos de las víctimas. Este armamento se ha convertido en una de las herramientas actualizadas y mantenidas activamente de Gamaredon. PTerovdoor: este robador de archivos VBScript continuó utilizándose en dos variantes (ofuscadas y no obfuscadas). A lo largo de 2024, los operadores de Gamaredon actualizaron repetidamente la herramienta, introduciendo nuevas plataformas externas como repositorios de CodeBerg para distribuir dinámicamente la información del servidor de comando y control (C&C), lo que complica las medidas defensivas. PTEROPSLOAD: Gamaredon hizo una transición notablemente al uso de túneles CloudFlare en lugar de NGROK para su infraestructura C&C. Esto marcó el comienzo de Gamaredon ocultando casi toda su infraestructura de C&C detrás de los dominios generados por CloudFlare, mejorando significativamente su seguridad operativa. Cargas inusuales: ¿propaganda rusa a través de malware? Un hallazgo particularmente intrigante fue el descubrimiento en julio de 2024 de una carga útil AD HOC VBScript única, entregada por Gamaredon Downloaders. Esta carga útil no tenía funcionalidad de espionaje; Más bien, su único propósito era abrir automáticamente un canal de propaganda de telegrama llamado Guardians of Odessa, que propaga mensajes pro-rusos dirigidos a la región de Odessa. Si bien es inusual para las operaciones típicas de Gamaredon, atribuimos esta carga útil a Gamaredon con gran confianza. Las técnicas de infraestructura de red y evasión a lo largo de 2024, Gamaredon mostró una dedicación persistente a evadir las defensas basadas en la red: el grupo continuó, aunque a una escala reducida, para aprovechar las técnicas DNS de flujo rápido, con frecuencia girando direcciones IP detrás de sus dominios. Sin embargo, el número de dominios que registró disminuyó notablemente de más de 500 en 2023 a aproximadamente 200 en 2024. Gamaredon se basó cada vez más en servicios de terceros como Telegram, Telegraph, Codeberg y Cloudflare Tunnels para ofuscar y distribuir dinámicamente su infraestructura C&C. Los subdominios generados por CloudFlare se convirtieron en los puntos finales de comunicación primarios del grupo, con dominios tradicionales relegados principalmente al uso de retroceso. Múltiples servicios de DOH (Google y Cloudflare) y los sitios web de resolución de terceros (como Nslookup.io, quién.is, dnswatch.info y checkhost.net) se aprovecharon regularmente para evitar el bloqueo basado en el dominio. Gamaredon también introdujo nuevas técnicas, como lanzar archivos HTA y VBScript integrados en directorios temporales y ejecutarlos por separado para resolver los dominios de C&C, lo que complica aún más los esfuerzos de detección automatizados. A pesar de las limitaciones de capacidad observables y el abandono de las herramientas más antiguas, Gamaredon sigue siendo un actor de amenaza significativo debido a su innovación continua, campañas agresivas de lanza y esfuerzos persistentes para evadir las detecciones. Mientras continúe la Guerra de Rusia contra Ucrania, anticipamos que Gamaredon evolucionará persistentemente sus tácticas e intensificará sus operaciones cibernéticas contra las instituciones ucranianas. Para un desglose técnico detallado de las actividades, actualizaciones y análisis de malware de 2024 de Gamaredon, lea nuestro documento blanco completo. Se puede encontrar una lista completa de indicadores de compromiso (COI) en nuestro repositorio de GitHub y en el Libro Blanco Gamaredón. Para cualquier consulta sobre nuestra investigación publicada sobre Welives -Curity, comuníquese con nosotros en amenaza a amenazas@eset.com. ESET Research ofrece informes privados de inteligencia APT y feeds de datos. Para cualquier consulta sobre este servicio, visite la página de inteligencia de amenazas ESET.