Gamaredon атакует украинские госорганы через уязвимость в WinRAR: 12 волн фишинга с сентября 2025 года

С осени 2025 года хакерская группировка Gamaredon (также известна как Aqua Blizzard, Primitive Bear, UAC-0010) непрерывно атакует украинские государственные учреждения, используя свежую уязвимость в архиваторе WinRAR. Злоумышленники рассылают целевые фишинговые письма от имени официальных лиц и судебных инстанций, вкладывая в них заражённые архивы. За полгода зафиксировано не менее дюжины волн таких атак, и активность не снижается - последние инциденты датируются началом мая 2026 года.

Описание

Жертвами становятся региональные подразделения Службы безопасности Украины, суды, прокуратура и военные структуры в нескольких областях - от Одессы до Сум. Атаки не отличаются высокой технической сложностью, но их масштаб и настойчивость делают угрозу серьёзной.

Как устроена атака

Вредоносное письмо приходит с взломанного аккаунта госслужащего или маскируется под легитимный домен. Например, в марте 2026 года злоумышленники использовали учётную запись чиновника из Одесской области, отправляя письма с одинаковыми адресами отправителя и получателя, а настоящие цели скрывались в скрытой копии. В письме содержалась "судебная повестка" и вложенный RAR-архив.

Этот архив эксплуатирует уязвимость CVE-2025-8088 - так называемый path traversal (обход пути) в WinRAR версий до 7.13. Внутри архива находится PDF-файл-пустышка и VBS-скрипт, который записывается не просто рядом, а через альтернативный поток данных NTFS (технология, позволяющая хранить дополнительные данные в файловой системе). Из-за специально сконструированного пути при распаковке WinRAR сохраняет скрипт не в папку с PDF, а сразу в автозагрузку Windows. Это обеспечивает постоянное закрепление вредоносной программы в системе.

Стоит отметить, что Gamaredon использует избыточно запутанную последовательность папок в пути - вероятно, чтобы обойти встроенные защиты архиватора.

Первая стадия: GammaDrop

После перезагрузки компьютера скрипт запускается. Он называется GammaDrop. Это сильно обфусцированный (запутанный) VBS-файл, который скачивает с удалённого сервера Cloudflare Workers второй компонент - HTA-приложение с именем GammaLoad. Каждый образец привязан к конкретной кампании, у него своё доменное имя, идентификатор и дата. Например, URL для загрузки формируется по шаблону: "hxxps://<рабочий домен>/<ID кампании>/<путь>/<дата>/<суффикс><случайное число>.<расширение>". Расширение может быть ".tif" или ".bmp", чтобы маскироваться под безобидные файлы.

Иногда авторы обходятся без первой стадии - архив сразу содержит HTA-файл, который выполняет роль загрузчика.

Вторая стадия: GammaLoad - разведчик и постановщик задач

GammaLoad - это VBS-сценарий, обёрнутый в HTML-файл. Он состоит из двух слоёв. Внешний слой (установщик) раскодирует зашифрованный Base64-блок и записывает его во временную папку, добавляя запись в реестр для автоматического запуска при каждом входе в систему. Внутренний слой - это постоянный маяк, который связывается с командным сервером (C2, command and control - центр управления).

Маяк собирает с заражённого компьютера имя устройства, букву системного диска и серийный номер тома. Эти данные он передаёт на C2-сервер в заголовке User-Agent вместе с меткой времени. Запросы отправляются в бесконечном цикле с паузой примерно 3,5 минуты. Если сервер возвращает ответ длиннее 75 символов, скрипт выполняет присланный код, который может быть любым - от следующего загрузчика до программы-шифровальщика или шпионского модуля. Если ответ короткий или сервер недоступен, маяк переключается на запасной C2 через 10 секунд.

GammaLoad использует два типа C2-серверов. Основной - домен на Cloudflare Workers, запасной - домен (например, kosoyed[.]ru), также спрятанный за Cloudflare. Интересно, что в последних версиях маяк имитирует не Windows-браузер, а ботов - Bingbot или Google AdsBot. Вместо двойного двоеточия как разделителя используются точки с запятой, а метка времени заменена статической строкой.

Инфраструктура и методы обхода защиты

Gamaredon активно использует Cloudflare Workers как дешёвый и быстро сменяемый хостинг для своих компонентов. Сертификаты Let's Encrypt выдаются незадолго до начала очередной кампании, а через неделю инфраструктура второго этапа обновляется. Домены регистрируются парами: в зоне .ru и .online, оба на одном регистраторе и с одинаковыми DNS-серверами Cloudflare. Это помогает операторам быстро переключаться между адресами.

Для обхода антивирусов и систем обнаружения группировка использует тактику fast flux (быстрая смена IP-адресов) и динамические DNS-сервисы (No-IP). IP-адреса часто живут всего один день, но каждый из них связан с множеством вредоносных доменов.

Особое внимание уделено фишинговым письмам. Злоумышленники либо взламывают учётную запись реального госоргана, либо подделывают отправителя. Отчёт аналитиков показывает, что многие украинские домены не имеют строгих записей DMARC (протокол проверки подлинности отправителя) или используют политику "карантин" вместо "отклонить". Это позволяет поддельным письмам доходить до адресатов, хоть и с пометкой о подозрении. Кроме того, операторы используют выделенный сегмент IP-адресов 194.58.66[.]0/24, с которого в течение нескольких месяцев отправляли письма через различные легитимные почтовые релеи, авторизуясь украденными учётными данными небольших украинских компаний.

Кто под прицелом

Жертвы - исключительно украинские государственные органы: региональные управления СБУ, военные части, суды, прокуратура. Особенно часто атакуются небольшие областные подразделения, а не центральный аппарат. Это может объясняться более слабой защитой периферийных организаций.

Выводы и прогноз

Gamaredon демонстрирует высокий операционный темп и умение адаптироваться. Схема атаки проста, но эффективна: скомпрометированные госаккаунты проходят проверки подлинности, уязвимость в WinRAR обеспечивает незаметную установку, а маяк GammaLoad позволяет операторам выборочно доставлять полезную нагрузку - от кражи данных до программ-вымогателей.

Строгая настройка DMARC на украинских доменах могла бы заблокировать большинство поддельных писем, а блокировка подсети 194.58.66.0/24 в почтовых шлюзах перекрыла бы один из основных каналов доставки. Но пока защитники вынуждены реагировать на каждую новую волну.

Примечательно, что группировка уже использовала альтернативные потоки данных в своих прошлых атаках, поэтому выбор уязвимости CVE-2025-8088, основанной на этой же технике, выглядит закономерным. Скорее всего, Gamaredon продолжит внедрять эту технику в свои будущие инструменты. Атаки не прекратятся, пока не изменятся условия: либо ужесточение защиты на стороне жертв, либо переключение внимания хакеров на другие цели.

Индикаторы компрометации

IPv4

107.189.19.48
194.58.66.82
5.181.2.158
77.110.107.165

Domains

2ad1.gmuds90318.workers.dev
2f34.u9wixg8dcxrxw.workers.dev
300a.mbdudar2m.workers.dev
46c0.sqogj22317.workers.dev
47ad.pdjqa15890.workers.dev
6cab.pxlbg77972.workers.dev
7799.nlufx08035.workers.dev
ab0f2.xh0lr6gvbtqopyp.workers.dev
accountand.ru
acorusso.ru
adiantumso.ru
aestivumos.ru
aethionemaso.ru
aguas.ru
alismaso.ru
alliumso.ru
allohad.ru
aluran.ru
andamanos.ru
andbien.ru
andromedas.ru
antarcticos.ru
antresolle.ru
aquariusso.ru
arabianos.ru
arcticos.ru
areyouall.ru
artakin.ru
artakos.ru
astrocaf.com
atlanticos.ru
aurigaso.ru
auxiliatos.ru
b80.sc9nj1tx.workers.dev
babaskan.ru
bakaden.ru
balduron.ru
balticos.ru
barentsot.ru
bed-office-original-bytes.trycloudflare.com
beringos.ru
best-sluts-ukraine.ru
bf7.he2p9djjz.workers.dev
bibitron.ru
billonda.ru
bistorgo.ru
bitorgas.ru
bittere63e.gcjc7ulfg8zc.workers.dev
blakurin.ru
bloodyhand.ru
bloodywolves.ddns.net
bluera.ru
bluradon.ru
boobasword.ru
bootesso.ru
boppekax.ru
bortorad.ru
broken-dust-20eb.bnxaz24270.workers.dev
bromusmos.ru
broposez.ru
buhembald.ru
bulyabo.ru
burriton.ru
busha80d.dp7uszdstai.workers.dev
c71.zb41e6kcfa.workers.dev
caelestisto.ru
calclus.ru
cathedrales.ru
cf2.tcrn7uoroffxls.workers.dev
columbaso.ru
complicaty.ru
consentesto.ru
conservatis.ru
continiym.ru
corvusso.ru
credomched.ru
crokul.ru
crudoes.ru
dafyp.ru
daremoinai.bounceme.net
db6b.vmocs87616.workers.dev
dedesir.ru
distichonmos.ru
domestikon.ru
drakhalos.ru
drygmetal.ru
dvadrugash.ru
eldjip.ru
eleanorva.ru
elvalos.ru
erroton.ru
esoque.ru
estaca.ru
f6f8.bzvbl72942.workers.dev
fahrakin.ru
fallze2e73.l1uxclprg1cj.workers.dev
fartodti.ru
fatuamos.ru
favoriteclown.endl.site
feorant.ru
festucamos.ru
fortunatos.ru
frastron.ru
gekka.ru
geminiso.ru
geniusto.ru
gitorfa.ru
golfaris.ru
grozur.ru
hatf8d7.oxwqplxmoyjpe.workers.dev
heart7766.vmkyieebw2.workers.dev
herculeso.ru
hitorova.ru
holyglore.ru
hordeumos.ru
hotun.ru
huskino.ru
iguessillgoout.myvnc.com
indianos.ru
indigetesto.ru
invictusto.ru
iraliv.ru
iuppitertos.ru
kaelos.ru
kamnotop.ru
kandrafolos.ru
kimiga.ru
kingandsh.ru
kolontra.ru
koloprast.ru
kosoyed.ru
labellen.ru
larumtos.ru
lasculpture.ru
leobard.ru
leorius.ru
lesartistes.ru
lesetoiles.ru
lesregines.ru
lestemps.ru
letsgout.ru
li751.ffoqdlqg.workers.dev
libraso.ru
lihoradit.ru
lin95.lp6kxqip.workers.dev
lively-disk-b5d5.tiffany88-140.workers.dev
livelyfeather.ydqbg11598.workers.dev
logitrap.ru
long-king-02b7.5ekz2z6pjk.workers.dev
lopraqum.ru
lovetco.ru
ludoida.ru
madres.ru
maplils.ru
marimashe.ru
mashalled.ru
massadex.3utilities.com
mekras.ru
milotran.ru
mirroran.ru
mirtogra.ru
mitrala.ru
mitralos.ru
mnf8b.wcpxlxtnk.workers.dev
mo88.dmnfesfnadt3.workers.dev
monitral.ru
monkyking.ru
mopotran.ru
mortumakaab.ru
movingdeath.ru
mstobik.ru
muchkino.ru
mug-holmes-oklahoma-exception.trycloudflare.com
mumbradi.ru
nandayo.ru
nikortal.ru
ninjagoa.ru
nododru.ru
nomame.ru
noportor.ru
noprotal.ru
nordovol.ru
norosta.ru
notoros.ru
novensilesto.ru
nushtosh.ru
oclouds.ru
orbentis.ru
oreb1.qxjmxpd8dfr.workers.dev
orvillo.ru
pacificos.ru
pati1fa.gusnqojic0byx.workers.dev
podriks.ru
pohudim.ru
poracholly.ru
pratensismos.ru
pro-bros.ru
progerod.ru
qu776.nsdbzy1t.workers.dev
quiapour.ru
raspy.bzcku21528.workers.dev
reforto.ru
regotras.ru
relay.astrocaf.com
replacemend.ru
retrop.ru
rotosa.ru
rotoslav.ru
rotosol.ru
rozalinde.ru
rubakovox.pro
sativamos.ru
sb353.rug5o12yj2pa.workers.dev
scdevelopements.com
secalemos.ru
secretah.ru
sellingleft.ru
selltosell.ru
semikos.ru
sifiro.ru
siphilos.ru
siphorov.ru
skilan.ru
soportas.ru
soprorotos.ru
squc32.ke3fm3xwqbhi.workers.dev
ss975.zsq7cmi9.workers.dev
staltulos.ru
stradrol.ru
stromatog.ru
sweetnce.kw68guncvjq.workers.dev
tadrogim.ru
tarapost.ru
tenterons.ru
thre6d.rfgah07ggr.workers.dev
throbsuns2.h4puonhajw.workers.dev
tienes.ru
tigh8d.wnsmohinpf.workers.dev
tilldeath.ru
tillthesunrise.sytes.net
tomatong.ru
tomatron.ru
triticumos.ru
trunda.ru
uarefire.ru
ulisar.ru
urdevont.ru
vaporblue.ddnsking.com
venustos.ru
vergadol.ru
victortes.ru
vifpor.ru
virgoso.ru
virobas.ru
visiksa.ru
visiksat.ru
vitorog.ru
vodosmot.ru
voulumonte.ru
vukongos.ru
worker.3utilities.com
wukongo.ru
xenophorm.ru
youaresilent.ru
yourfocus.ru
yourrain.ru
yumeglory.ru
zerodems.ru

SHA256

00b8e381046d4e024a97d0402c3fe29f9d7f5114b2a932003d3e089cfdf992c1
08f7e1d85145fcd6bbc3787fee127876e0f47a1002d52b1bcc02ba1719dc87df
0a47d742555407201d0da7d6abca8d7d6a1dbcf28742687f4b835f17b69371e6
0b4ca7afcbb02b0a3c7873752a8e4df9d4ce2fc8e56a223bef5f99c6ee277cc9
0c7a9137b494efc20050fcb0098d0ba536b9a4ac48329c808714eda168d7bdfa
1a438fd50762b104d3ef0aaddb94e30527773845974ec65efb95749d6d8f99bc
1aa837b1017366b0fa38b25de83b4fd207898a5f058b87661e5b94d59c374c40
1d633fb3f1de53fdbdb8248866f56c08fde16d43bdd0f1fa0f5d6d1afb47185a
1f8a3ec047e0f44f1f21e1e3f8af5ea32749ecac3e2bef4fc2ba1a2006934581
2193d48e58732e26bf212e027fceda8974a9cedbb55281bd30550a28894aef2d
229a2d142e425f747bf995360058ffef0cd854fbec935d2be1b10d1c889def86
22c10dff8f6a867f9d56d513f45cd7a2b0c370751960fac8972e2306098b05c4
245a3b5790ff9bc88a9133d4e03f4fd8bec0e8d0ec7ad5baaecf4809a4bc14f2
24604941c68ffbcdc6636c1ca38f8476c2fd9e6e04a288ffd300428aa4fe6593
279e484dfb546e7ad84d5650572bb51d5180b431fdc8c0669e69e69d9a693bd5
2b7c52fda08833d5b65d75510d925c448403883376123f53e6c44788426979ca
2bef643f22532f907ea64f31663564e42697577d4a06f57399ecfce9aaf939a7
332414b948cd6d23138e32ca305a1d0bed77dfd3fd8cf740caa1d1d540130fef
333c408909e2a3ed9d7606b25d6284680c9d0d3247053df0ddf424f759cada0a
3ad10a3dfa76821fef436847fda698e061fa81ccd280f30edc82d036f7c621f3
3c893696f7e78fe9973f9ea16b2980fc75fa7ae4d649c045ae1a7c5c72d221ba
3dcc9bf0803af1560d56ebe0fa524b0d6bb2554022d0feeb8634d8b9dde0c607
40357c6a326f5e669b304295941308b83af1b7bdedb3c636a7128d28befcf85e
4301fcede1fb8440f0ccefa09a4b2bd29757bde9e60dcfa1d27a5d9dbb5cbdbd
435c462bf2cc6e85cf23a5e89a530d74ffeded42811584282e0028eb51656b3a
443f7d8f68bad52c8eba786f96e56d7a515536be33a64fc7a504d89df36d4301
4447722064bc617d342da4f9a26dd6a5d412cd7d9d9214340bf2c8782e6277f6
460621fff09cebcbd2ded09dd933ed66952d98c787548131136f3692d504fb44
4778adcc90e9903f1d99c93ace28b55ce9546d1815c811ac9bba6d9e5b2bed6d
48092a501ec64564e2bf2e3c79c1f96c490231abcae6ef02499570fa41d63ab2
4942030fc49b6095097afae368a216e78f9c29d34d932ec6a6f25aa4370fe976
4cb1c692a2f575ca0b180eb962d04276f1e8ef43040238050e28c2f5ec95f3fb
4d0384aa2bc171c97d3ea10e1802185157452dc1590d7368a089d74d844fb21c
4f15ca9dd66cc3d5a8dc89eefe92d445432e17aeea7cab9fb06f646a550a0149
4fa6cc449144cab865cbf08823c2dbd65f9a78874e7fb673671243cebde12185
5016e66fccfe9d7c255b616bbd7194e1de47cc750e274d2aa7485a98d798d174
53415da748357289ce4a07ceaea79515d0c5af8488e9c00358399c043956e9d4
535a3e35ebaf4d26ed45cfb701250d00c078ba851f003d3104beb7940b8c7bb4
56df5e14408f9266cd89c43b9464ea71b65cc1848f1b10fbdf8949776115f4c3
57a92c3bce362ab151a6b271d5213081a13471c8c02e05640e8f50a2f13767f3
580bfbdd7fad1d218b4cf0903c44c67c5f35617ced93d397e7b1397bbf9664fb
5ad055b7f80b2c0f0f11ec90d9b401dc5317cf23983e7c49f5eb3bb06f9d81d1
5ede48b619959a593775a9c5fbc0dc7b2d9a86b9e0efbc4d4e53a48d97722ebc
62818ae5e305b89b9461536dac1b9daf4cebd99d24e417357e27e2ae4582a704
63c12f66ef4bac065a4472639c62a65d88027b86d6b8d85775da0813ecd1d771
68d34e98f1824083cd9b7c72a9597a31d131a0f2f2baa767262f264001c99c04
69cdde1ec82099a471283de89dd5e17266b1d8dda57d3c1589b7754b009fa2ed
6e016724df082936cc98869b30134845ae6455e1b551e3fe421d2cdb7ed1dc66
6f83e020c07587aa71fdf20ee43c8643d37feeebab0dba839301b5597b0a87b3
72650f1a2a44251e97aa9bd97d0ac42b64b322cd0cfe262ffd7d70386d661dd7
74a3422cd2c9f38347b41dd6a8c68b52df1418f71183a0a53395381b0f0ad00e
75adb6fe6909ea003fbd12dd8f6bdbd202afafe4f97aeda05af0536b745d6095
76adb34079bafcba8085ee5e776c971ec1b2a06b9a86ce4d05f5e9a2c8a2cd86
78c8adda88904353fc3a9c7535bf9ccce5146d09e3099cc5f1667365e379d501
79953d26671e6ae3b8d7e5d0efe63f63f6b616b50e7d3dcbf50b16fc600aef55
7a7ceb023a054ef1c506283d8e606577ab690d02cea62875f2f12b9c54c91c4d
7d8fdb7f19dd21dc1503307214c64da9f5ea610c46bf4bf1050a2ea132acdba6
824100ecbbdea7a576d4c68b0815003d37b39c84e213320c296f609f53193d8f
856584606f0bc5182d1e9d20e70c1d07f78355afc974217a128707c9e14fa6d7
85d978f9b2b85b1bfa014e6ba5fc7e94f04f62f3f00cbee0187926e0090772b4
85eb88f01bd4de0d052c8109bc11baa7c1893e11002bea17bf7c18305dd9a8ea
865795d330285efe0b178a1bbee3b2117ff7573dac60b09d899e0de6602b8e12
86d9357bda4769036362832c039dbe800121ed9a966e8b59a3f9cccab61cdafb
873f4d4705b0532d4748ad8af54932020b2fe1071a3dc458b31b386b7df92da1
87c163c42f4328e71ec3f4997593751bd5b9d00e85a80e65c8e7312e3ab4bcc5
8cb81e8653e47fad28467ae44c010b2e57893f387ff9533677b687aa106c5db7
8cf414ccbc6c02d12c41151f6806a5b57d0fb90a34c6e02f037ac9afd5f4b7d4
9106604572e0f4b2f46929ba3c63701be6db4b0ae109a2c4f9a39d9a88dd5cc9
95e58b54b180d811698483480c37214fccc80cc142917729afe63b759ded3151
97361a91ba80981ca549ed19b2e2b9250fed6231027cd15418578b3db76b02ab
9785029fcc1d070fae4d5c6a41224a06c9aebac0f4fa04f622c041d304dee8bd
9a7053ce9d9959619f35ee58c0dcafc301dc3b29d00695a9d6aac26d3913f795
9b53a28d0435c3aaed88dcad1613be069c5b0a26e60be53e3288587a4954ccd6
9ca63c6b5888bf4a2ba5ab4c6eae8d06cb995e725af56c832d80793bcee3fc32
9caeceba523e8edf6c66dad74d637eb2a543665926198a8ec4bd2706ba2e5c93
9df73f01233136268426aa5fa1c5f220f302db5ff2ab7739ca7fe60f600e751b
9fc2a247313b078d795419b7d1c7c0cd907a103a4c64ebab6c96ddb7b958d230
a6efbf9ea74fcc0fccbcc4d41104a6d602ee8d754f8d16e64fc9b17b0ce43e36
a9eae5074d2877876bb22195ac8d0697faf6e82a06f266fc52b187002c41147e
aa572532ab1c8a731e7ba32e97ba180268eee8e6a74a2b9c4dc3efb669edb9af
ab9781dff29b1bf6170c9a71ca36657725b7af25eaf0ef18d2b1d344fa9e2a32
ac985354b7efd4356954c316c797e56ed88aa4651798bd79b5c7ebb353546a30
acf6196228f25d0c9f172c7401b5f2c2ba1d30f847e5626678630458e7529c97
ae89c82b1620fc32ef720778a41e92965be412d3bfa6f62b7348e4f5463b6359
af45888cdbff3927af6a28ca3a2a4e5e1fca209732761a9c2ba8b8c9b2c6b2bb
afa005ad2707e4b6e1e565091c57ec5abdf45cd738bd1f1edfc04fcca1ad9c64
b47d7cd9444cfd97f77d2d0be9bb33a15f44304a293df70a2905d8120b11f6ce
b789da8b71282678f5dc1a45ec65c02d646887cd365af2213b9cac76bae5b1a2
b7dbccad9a40c20194edcde7d1bc1724ec55d97be5882fb635395919539a9be4
b810c2835a066c517496e79c08887b9b076ca65ce9c4d631f06966706e445b3b
b8fb84cc850c7a2df3ab16171975ff6a92406690df6ba2bc82d44c5227f69134
bd7237f92cc020ed71ae08a2eff01159900242164030c5c006191c4ca5322961
bfbb8ca8827dd73157eadcde062a0524fe68590478f06957285ff3c3ed732931
c0b7a42bd52d3b21de66ce8437d9a068eacc3feb065202d32377690c9a80d580
c2a5aa9298b3fa2eaeaf92e297f0c8fde1f2bbb216ea40c961e544057c975352
c4546dcd30f7bf5397d7f4906da01db55990796ca4b79515f16090f3fe85005b
c6afe1a912548fcec511af5efb2c66e4267f71b46f5b4802bf02271b34a3f49a
cad8a6efef60c5c8c530757a4e0776c8baa8f9bfc05536ab730d6b57567f6548
cbf8017a260a33b723b76ab8e14888cddd0da9d178246eee54a449446ae4990c
d37d74e97f0d39c7f6703e4384af86ce4952693fac916c0a3d5b390a2fd00184
d4cd014e94d33d776fef2d372157c69b6fe6e4bf7231e4259c6ea7808d9d6553
d6b9448f1c2d0615c19ed9cb98a118bb862efd4a0de9a52e023c1d56b6a527eb
ddf34d901048ad25626d4a23965caeee2ccb0006f80baa2959de120e80ac1ebc
df6891b60e88e6d61f79e36b210e98c0a09cf964ea5679629235793043e4e21d
dfd5247067a617e441c1cbabb8b9431030bf36405e80b2a72bf879ebedcaef84
e3e58e8adf018f7f9cf4d4dcb3830f833cd09a4a47c1ff8bcc0e079dbff082c8
e438a4859aea79ea418fb190f68f840e701778267e1ffeaef3195ba21fe5014a
e590c17f6bc07290482ecd75c45c006af9ba1f5120c4bb3893302b41483eb537
e78a7fdd8c997fd21f5ffd91c8a670511f4494b41e4d8d72e8b20910f321bf78
ecb9609989dce48f78d4fa83abf3dae5592dd4e332d27f005e652c4f82d0b3c2
ecc6b07413cd515de1be8dd92ca4b7df808d4e118067e4617858ad5e48c40fbf
eea39c6a3d7553e6a4151a37f9d28c6d6a883aac868f3a430c799b4a0de0e17c
f1d5793184760b944a3148b7dfa7d8123ba4af5889cd04c2d0003da1989b110d
f20a28ac0b62748a1562115a93e4d21d7bb3fd17fbe34dbb0d26fb73b3356b6e
f2a31d145aa55a9d119f30884605df4e101a77e18c8fe30f2b1a1a75ff670169
f58c4ce227f68f75df8eb7511a83c88a4837f8a19c5cda59fd0762e0480edadd
f7b5aa1b1a57c3e24b17dd0e85c900933a857212eee637b6c0020b280c9f4ad9
fe62f8e5fe567500b3ad7b4b0127bc6eb6eef767b60951ae6f6e8a73e26979bb
ff858d25804ff6f92fedcac9360692fcff418efa3e17f863f3d48e3823036d4f
ffb013ed760720ecad2300561ae7c1f5bdfb6a7c77ff1d358ac0c1a0e040c186

YARA

rule Gamaredon_GammaDrop {

meta:

description = "Matches Gamaredon GammaDrop VBScript samples used in late 2025 - mid 2026"

references = "TRR260501"

hash = "62818ae5e305b89b9461536dac1b9daf4cebd99d24e417357e27e2ae4582a704"

date = "2026-05-13"

author = "HarfangLab"

context = "file"

strings:

$vbs = "On Error Resume Next" ascii

$a1 = "Function " ascii

$a2 = "End Function" ascii

$a3 = ".Run " ascii

$a4 = "= Eval(" ascii

$a5 = "randomize" ascii

$a6 = "CreateObject(" ascii nocase

$a7 = ", false" ascii

$b1 = " + \"" ascii

condition:

filesize < 600KB

and $vbs in (0..80)

and #vbs >= 4

and #a1 >= 2 and #a2 >= 2 and #a3 >= 1

and 5 of ($a*)

and #b1 > 150

}

rule Gamaredon_GammaLoad_HTA {

meta:

description = "Matches Gamaredon GammaLoad HTA wrapped VBScript samples used in late 2025 - mid 2026"

references = "TRR260501"

hash = "69cdde1ec82099a471283de89dd5e17266b1d8dda57d3c1589b7754b009fa2ed"

date = "2026-05-13"

author = "HarfangLab"

context = "file"

strings:

$hta = "<!DOCTYPE html>" ascii

$vbs = "on error resume next" ascii nocase

$a1 = "Function " ascii

$a2 = "End Function" ascii nocase

$a3 = "<script type=\"text/vbscript\">" ascii

$a4 = "=\"ZGltIG" ascii

$a5 = ".shellexecute " ascii

$a6 = "%TEMP%" ascii

$a7 = "\"REG_SZ\"" ascii

$a8 = "Close" ascii fullword

$a9 = ".createelement(" ascii

$a10 = "\"utf-8\"" ascii

$b1 = " + \"" ascii

condition:

filesize < 900KB

and $hta

and #vbs >= 5

and #a1 >= 3 and #a2 >= 2

and 4 of ($a*)

and #b1 > 30

}

rule VBScript_RAR_CVE_2025_8088 {

meta:

description = "Matches RAR5 archives exploiting CVE-2025-8088 to drop VBScript into Startup folder, used by Gamaredon in late 2025 - mid 2026"

reference = "TRR260501"

hash = "00b8e381046d4e024a97d0402c3fe29f9d7f5114b2a932003d3e089cfdf992c1"

date = "2026-05-13"

author = "HarfangLab"

context = "file"

strings:

$rar5_magic = { 52 61 72 21 1A 07 01 00 }

// RAR5 Service Header (type 03) with STM (NTFS alternate data stream)

// Header type 03, flags 23, followed by STM name and path traversal colon

$stm_header = {

03 // Header Type = Service Header

23 // Header flags

[17-20] // Flags, sizes, extra data

00 // Windows OS

03 // Name length = 3

53 54 4D // "STM"

[1-2] // vint size of stream name

07 // Data type = Service data

3A // Colon ":" starting ADS path

2E 2E 5C // "..\\" path traversal start

}

$startup_path = "AppData\\Roaming\\Microsoft\\Windows\\" ascii

$startup_folder = "\\Startup\\" ascii

$vbs = ".vbs" ascii

$vbe = ".vbe" ascii

condition:

$rar5_magic at 0

and filesize < 700KB

and $stm_header

and $startup_path

and $startup_folder

and any of ($vb*)

}