Aan Rusland gelinkte Gamaredon-groep heeft nieuwe tools en allianties en is afhankelijk van legitieme diensten, zegt ESET
ESET Research heeft zijn nieuwe rapport gepubliceerd over Gamaredon, een aan Rusland gelinkte dreigingsactor, en diens activiteiten in 2025. Het rapport analyseert de nieuwe tools in hun arsenaal, belangrijke veranderingen in de wijze waarop zij hun netwerkinfrastructuur beschermen, en het toenemende gebruik van legitieme diensten van derden om zowel C&C-informatie (command-and-control) als gestolen data te verbergen. Tijdens heel 2025 bleef Gamaredon zeer actief en volledig op Oekraïne gericht. Het uiteindelijke doel van de groep blijft het stelen van gevoelige informatie en andere cruciale data die gebruikt worden om de Russische belangen in de oorlog in Oekraïne te ondersteunen. De activiteiten van Gamaredon sluiten nauw aan bij de geopolitieke doelstellingen van Rusland, waarbij Oekraïense overheids- en militaire instellingen worden aangevallen om een inlichtingenvoordeel te verkrijgen.
“In januari 2025 nam Gamaredon een korte operationele pauze, maar besteedde het grootste deel van de eerste helft van het jaar aan de ontwikkeling en implementatie van nieuwe tools. ESET stelde vast dat heel wat updates werden gemaakt in de aanloop naar belangrijke feestdagen in Rusland en de Krim. Tijdens of direct na deze feestdagen werden geen updates waargenomen, wat suggereert dat de operatoren van Gamaredon wellicht overheidsmedewerkers zijn”, aldus Zoltán Rusnák, de ESET-specialist die Gamaredon onderzoekt. De groep wordt door de Oekraïense veiligheidsdienst gelinkt aan het 18e Centrum voor Informatiebeveiliging van de Russische FSB en zou vanuit de bezette Krim werken.
Begin 2025 werkte Gamaredon samen met Turla, een andere aan Rusland gelinkte actor. Deze samenwerking belicht het potentieel voor gecoördineerde cyberespionage-campagnes tussen aan Rusland gelieerde groepen, wat hun operationele impact zou vergroten. Gamaredon werkte voordien ook samen met InvisiMole, een dreigingsactor die door ESET werd ontdekt. Meer algemeen was er in 2025 ook een ander voorbeeld van samenwerking en taakverdeling tussen aan Rusland gelinkte actoren. ESET zag dat de aan Rusland gelinkte groep UAC-0099 initiële toegangsprocedures uitvoerde en daarna gevalideerde doelwitten overdroeg aan Sandworm voor vervolgacties.
In de tweede helft van 2025 schakelde Gamaredon meer over op grotere en meer frequente spear-phishing-campagnes. Het tempo was de meest opvallende verandering. De groep was dus veel actiever naarmate de campagnes zowel frequenter als grootschaliger werden. Naast spear-phishing bleef Gamaredon ook aangepaste tools voor laterale verspreiding gebruiken. Deze tools maken USB-sticks, toegewezen netwerkstations en zelfs software-installatieprogramma’s tot wapens, zodat de groep zich na de eerste inbreuk binnen of tussen organisaties kon verspreiden.
In 2025 introduceerde Gamaredon zes nieuwe tools, allemaal geschreven in PowerShell: PteroDee, PteroCache, PteroDum, PteroOdd, PteroPaste en PteroEffigy. De meest opvallende is PteroPaste, die heel wat complexer is dan de andere. Het combineert een downloader, een USB-wapengenerator en een runner-component voor persistentie en orkestratie. Daarnaast werd een oude VBScript-wapengenerator nieuw leven ingeblazen: PteroSetup, die voor het eerst verscheen in 2021.
Daarnaast zochten de operatoren van Gamaredon naar nieuwe manieren om hun netwerkinfrastructuur te beschermen. Hun C&C-servers zitten nu verborgen achter diverse diensten van derden, zoals tunnels, workers, DDNS (dynamische DNS) en PaaS (platform as a service).
Een van de belangrijkste activiteiten van Gamaredon in 2025 was het veelvuldige gebruik van zogenaamde ‘dead-drop’-diensten. De term is afkomstig uit de klassieke spionage: in plaats van elkaar direct te ontmoeten, laat een agent informatie achter op een openbare of verborgen locatie, en een ander haalt deze later op. Online is dit vergelijkbaar. In plaats van de werkelijke kwaadaardige server direct in de malware te integreren, plaatsen de aanvallers de informatie op een legitieme website of platform, waarna de malware daar dan wordt opgehaald. De malware kan eerst contact opnemen met een publieke pagina op een legitieme dienst en daar een verborgen of geënsceneerde waarde uitlezen en daarna verbinding maken met de werkelijke C&C-server. In 2025 misbruikte Gamaredon op deze manier talloze diensten zoals Telegram-kanalen, Dropbox, het sociale netwerk DEV Community, Mastodon en andere.
De andere belangrijke infrastructuurverandering die ESET zag, was data-exfiltratie. Gamaredon heeft twee van zijn belangrijkste programma’s voor bestandsdiefstal, PteroPSDoor en PteroVDoor, geüpgraded om gestolen bestanden te uploaden naar S3-compatibele cloudopslagservices. Deze providers ondersteunen de Amazon S3 API (Wasabi, Tebi en Intercolo), zodat dezelfde tools en code bij verschillende opslagproviders werken. PteroBox bleef op die manier dan ook bestanden naar Dropbox uploaden.
Gestolen bestanden naar cloudopslag uploaden, vermindert de noodzaak voor Gamaredon om een eigen infrastructuur te onderhouden om grote hoeveelheden gestolen data te ontvangen. Het helpt ook om kwaadaardig verkeer te vermengen in de toegang tot legitieme opslagproviders. Gamaredon maakt steeds meer gebruik van diensten van derden, niet alleen om de herkomst van instructies te verbergen, maar ook om de bestemming van gestolen data te verbergen.
Raadpleeg voor meer details over Gamaredon en hun activiteiten in 2025 het witboek en de blog
“Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances” op www.WeLiveSecurity.com. Volg ook ESET Research op X, BlueSky en Mastodon voor de nieuwste info.
Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.
