Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Grupa APT Gamaredon pozostaje jednym z najbardziej aktywnych podmiotów prowadzących operacje cybernetyczne przeciwko Ukrainie. Najnowsze ustalenia pokazują, że kampanie tego aktora rozwijają się zarówno pod względem wykorzystywanego malware, jak i sposobów ukrywania infrastruktury oraz komunikacji z systemami ofiar.
Szczególnie niepokojące jest rosnące nadużywanie legalnych usług internetowych i chmurowych. Taki model działania utrudnia wykrywanie incydentów, ogranicza skuteczność klasycznego blokowania ruchu i komplikuje analizę aktywności złośliwego oprogramowania.
W skrócie
W 2025 roku Gamaredon prowadził intensywne kampanie spear-phishingowe wymierzone w ukraińskie instytucje rządowe i wojskowe. Ataki wykorzystywały archiwa, pliki XHTML oraz technikę HTML smuggling do dostarczania złośliwych komponentów.
Badacze odnotowali także użycie podatności CVE-2025-8088 w WinRAR, co pozwalało na umieszczenie downloadera w folderze autostartu systemu Windows. Równolegle zidentyfikowano sześć nowych narzędzi PowerShell oraz wyraźny wzrost wykorzystania platform chmurowych i usług publikacyjnych jako pośrednich kanałów komunikacji C2 oraz eksfiltracji danych.
Kontekst / historia
Gamaredon od lat jest kojarzony niemal wyłącznie z operacjami ukierunkowanymi na cele ukraińskie. Siła tej grupy nie wynika wyłącznie z wyrafinowania pojedynczych próbek malware, lecz przede wszystkim z wysokiej intensywności działań, częstych aktualizacji narzędzi oraz szybkiego dostosowywania technik do środowiska ofiary.
W 2025 roku badacze zaobserwowali 35 odrębnych kampanii spear-phishingowych skierowanych do nowych celów, z wyraźnym wzrostem aktywności w drugiej połowie roku. Wcześniejsze operacje grupy opierały się m.in. na modularnym arsenale Ptero, a najnowsze obserwacje wskazują, że aktor nie porzuca wcześniejszych technik, lecz rozwija je o nowe moduły, metody persistence oraz bardziej elastyczne sposoby maskowania zaplecza operacyjnego.
Analiza techniczna
Łańcuch infekcji najczęściej rozpoczyna się od wiadomości phishingowej zawierającej archiwum lub plik XHTML. W przypadku XHTML stosowana jest technika HTML smuggling, która pozwala złożyć złośliwy ładunek po stronie przeglądarki użytkownika. W praktyce prowadzi to do uruchomienia downloadera HTA, pobierającego kolejne komponenty malware, w tym znane wcześniej moduły takie jak PteroSand.
Jednym z istotnych elementów kampanii było wykorzystanie podatności CVE-2025-8088. To błąd typu path traversal wpływający na WinRAR w systemie Windows, który może umożliwić wykonanie kodu po otwarciu odpowiednio spreparowanego archiwum. Operatorzy mogli dzięki temu doprowadzić do zapisania złośliwego pliku HTA w folderze Startup, co zapewniało automatyczne uruchomienie kodu przy kolejnym logowaniu użytkownika.
Gamaredon nadal korzysta również z narzędzi wspierających ruch boczny i rozprzestrzenianie infekcji. PteroLNK oraz PteroPaste służą do infekowania dysków USB i zasobów sieciowych przy użyciu złośliwych skrótów LNK. Otwarcie takiego pliku przez użytkownika może skutkować pobraniem kolejnego downloadera i rozszerzeniem kompromitacji wewnątrz organizacji.
Na uwagę zasługuje także użycie komponentu PteroSetup. Narzędzie to skanuje podłączone nośniki i mapowane dyski sieciowe w poszukiwaniu legalnych instalatorów, a następnie podmienia je na samorozpakowujące się archiwa 7z SFX zawierające oryginalny instalator oraz złośliwy skrypt VBScript. Taka technika zwiększa wiarygodność pliku i utrudnia zauważenie manipulacji.
W 2025 roku zidentyfikowano ponadto sześć nowych narzędzi PowerShell:
- PteroDee i PteroCache do pobierania i wykonywania ładunków PowerShell bezpośrednio w pamięci,
- PteroDum do pobierania i uruchamiania skryptów VBScript w pamięci,
- PteroOdd do pobierania pojedynczego ładunku PowerShell z użyciem interfejsu Telegra.ph API,
- PteroEffigy do pozyskiwania adresu serwera C2 z wykorzystaniem usługi GoFile,
- PteroPaste do uzbrajania nośników USB i pobierania kolejnych ładunków kanałem szyfrowanym.
Najważniejszą zmianą operacyjną jest jednak rosnące nadużywanie legalnych usług online jako pośrednich warstw komunikacji. Malware może pobierać informacje o infrastrukturze C2 z pozornie nieszkodliwych stron, usług przechowywania plików, platform publikacyjnych, tuneli czy środowisk serverless. To znacząco utrudnia blokowanie oparte wyłącznie na reputacji domen i adresów IP.
Konsekwencje / ryzyko
Dla obrońców największe ryzyko wynika z połączenia prostych, ale skutecznych technik socjotechnicznych z elastycznym podejściem do infrastruktury. Kampanie wymierzone w administrację i wojsko zwiększają prawdopodobieństwo kradzieży dokumentów, danych operacyjnych, informacji wywiadowczych oraz innych materiałów o wysokiej wrażliwości.
Wykorzystanie legalnych usług internetowych komplikuje zarówno analizę ruchu, jak i proces blokowania. Ruch do popularnych platform chmurowych nie zawsze może zostać odcięty bez wpływu na działalność organizacji, dlatego tradycyjne filtrowanie sieciowe staje się mniej skuteczne. W efekcie większe znaczenie zyskują monitoring zachowań, telemetria endpointów i korelacja zdarzeń.
Dodatkowym zagrożeniem są techniki in-memory execution oraz persistence oparte na folderze Startup. Ogranicza to liczbę śladów na dysku, skraca czas potrzebny napastnikom na osiągnięcie celu i zwiększa szansę na dłuższe pozostanie niewykrytym. W środowiskach korzystających z licznych stacji roboczych, udziałów sieciowych i nośników wymiennych zagrożenie propagacją pozostaje szczególnie wysokie.
Rekomendacje
Organizacje narażone na ukierunkowane kampanie phishingowe powinny wzmocnić kontrolę nad archiwami, plikami HTA, skrótami LNK, skryptami VBScript oraz PowerShell. W praktyce warto rozważyć blokowanie lub silne ograniczenie wykonywania HTA i VBScript, a także wdrożenie polityk ograniczających użycie PowerShell poza uzasadnionymi scenariuszami administracyjnymi.
Kluczowe pozostaje pilne aktualizowanie WinRAR i usuwanie podatnych wersji ze stacji roboczych. W przypadku aktywnie wykorzystywanej podatności CVE-2025-8088 kontrola wersji tego oprogramowania powinna być traktowana jako element realnej redukcji ryzyka.
W warstwie detekcji warto monitorować:
- tworzenie plików w folderach Startup,
- uruchomienia procesów mshta.exe, wscript.exe i powershell.exe z nietypowymi argumentami,
- tworzenie i wykonywanie skrótów LNK z nośników wymiennych oraz udziałów sieciowych,
- połączenia do usług publikacyjnych i chmurowych inicjowane przez skrypty lub nietypowe procesy,
- anomalie związane z archiwami zapisującymi pliki poza oczekiwanym katalogiem.
W środowiskach o podwyższonym ryzyku warto dodatkowo wdrożyć segmentację sieci, ograniczenia dla urządzeń USB, kontrolę aplikacji oraz reguły EDR ukierunkowane na techniki HTML smuggling, persistence w autostarcie i wykonywanie ładunków w pamięci. Istotne pozostaje także szkolenie użytkowników, szczególnie personelu administracyjnego i wojskowego.
Podsumowanie
Najnowsza aktywność Gamaredon potwierdza, że skuteczne operacje APT nie muszą opierać się wyłącznie na skomplikowanych exploitach i bardzo zaawansowanym malware. O skuteczności kampanii decydują tu skala działań, częste modyfikacje narzędzi, umiejętne wykorzystanie legalnych usług online oraz połączenie phishingu, persistence i technik in-memory.
Dla zespołów bezpieczeństwa oznacza to konieczność odejścia od samego blokowania wskaźników IOC na rzecz analizy zachowań, kontroli skryptów oraz aktywnego monitorowania nadużyć usług chmurowych. To właśnie elastyczność operacyjna Gamaredon sprawia dziś, że grupa pozostaje jednym z najtrudniejszych przeciwników w środowisku ukierunkowanych ataków na Ukrainę.
Źródła
- The Hacker News — Gamaredon Expands Ukraine Attacks with New Malware and Cloud Service Abuse — https://thehackernews.com/2026/06/gamaredon-expands-ukraine-attacks-with.html
- NVD — CVE-2025-8088 — https://nvd.nist.gov/vuln/detail/CVE-2025-8088
- CVE.org — CVE-2025-8088 — https://www.cve.org/CVERecord?id=CVE-2025-8088
- CISA Known Exploited Vulnerabilities Catalog — CVE-2025-8088 — https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-8088