ESET Research ha publicado un análisis detallado sobre las actividades del grupo Gamaredon, un grupo de ciberamenazas persistentes avanzadas (APT) alineado con Rusia y operativo desde al menos 2013. Según el Servicio de Seguridad de Ucrania (SSU), Gamaredon está vinculado al 18º Centro de Seguridad de la Información del FSB ruso, con base en la Crimea ocupada, y actualmente es el grupo más activo en Ucrania. Además, ESET ha descubierto que Gamaredon colabora con otro actor de ciberamenazas, InvisiMole, también identificado por los investigadores de ESET.
Aunque la mayoría de sus operaciones de ciberespionaje están dirigidas a instituciones gubernamentales ucranianas, en 2022 y 2023 se detectaron intentos de Gamaredon para comprometer objetivos en países de la OTAN, incluidos Bulgaria, Letonia, Lituania y Polonia. A pesar de estos intentos, no se registraron brechas exitosas en dichos países.
Métodos de Gamaredon y evolución en 2023
El grupo Gamaredon utiliza una serie de técnicas de ofuscación en constante evolución y un conjunto variado de estrategias para evadir los bloqueos basados en dominios, lo que complica su detección automatizada. Sin embargo, los investigadores de ESET han logrado monitorizar sus actividades y descubrir que Gamaredon ha estado utilizando sus herramientas maliciosas desde antes de la invasión rusa de Ucrania en febrero de 2022.
Una de sus tácticas más comunes es el spearphishing, seguido del uso de malware personalizado que convierte en armas archivos de Word y unidades USB. Gamaredon confía en que las víctimas iniciales compartan estos archivos con otros posibles objetivos, lo que expande su red de ataques. A diferencia de otros grupos APT, Gamaredon no se preocupa por ocultarse, siendo bastante imprudentes en su ejecución, según el investigador de ESET, Zoltán Rusnák.
En 2023, Gamaredon mejoró sus capacidades, desarrollando nuevas herramientas en PowerShell diseñadas para robar datos de aplicaciones como Signal, Telegram y de navegadores web. Entre sus desarrollos más recientes destaca PteroBleed, un infostealer descubierto en agosto de 2023, que apunta a robar datos de un sistema militar ucraniano y de un servicio de correo web de una institución gubernamental.
Un enfoque agresivo y persistente
Según Zoltán Rusnák, aunque las herramientas de Gamaredon carecen de sofisticación, su enfoque agresivo y persistente lo convierte en una amenaza significativa, especialmente en Ucrania. «Gamaredon suele asegurar su acceso implementando varios descargadores simples o backdoors simultáneamente, lo que les permite mantenerse activos en los sistemas comprometidos», añade Rusnák.
Con la guerra en curso en la región, se espera que Gamaredon continúe centrando sus operaciones en Ucrania, lo que refuerza su posición como uno de los actores más activos y peligrosos en el ámbito del ciberespionaje.
