Хакерская группа Gamaredon, в 2025 году не снизила активности и осталась верна своей основной цели - правительственным и военным учреждениям Украины. Это следует из нового отчёта компании ESET, посвящённого анализу инструментария группировки за прошедший год. Специалисты зафиксировали 35 отдельных фишинговых кампаний, обнаружили шесть новых вредоносных инструментов на языке PowerShell и зарегистрировали существенные изменения в тактике защиты сетевой инфраструктуры. Кроме того, подтверждено сотрудничество Gamaredon с другой известной группой Turla.
Описание
Группировка действует как минимум с 2013 года и на протяжении всего времени нацелена исключительно на украинские государственные структуры. В 2025 году активность группы была ежедневной, но характер деятельности изменился. Если в первой половине года упор делался на разработку новых инструментов (пять из шести были развёрнуты впервые в первом квартале), то во второй половине Gamaredon сосредоточилась на масштабных фишинговых атаках. Кампании проводились чаще и были значительно крупнее, чем в начале года.
Основным вектором начального проникновения остаётся целевой фишинг. Злоумышленники рассылают электронные письма с вложенными архивами (RAR, ZIP) или файлами XHTML, использующими технику HTML-смаглинга. Такие кампании длятся от одного до шести дней, причём в большинстве случаев активность приходится на рабочие дни, хотя иногда атаки продолжаются и в субботу. После получения начального доступа злоумышленники применяют кастомные инструменты для перемещения по сети (lateral movement).
Предоставленный анализ демонстрирует, что разработка новых инструментов в 2025 году была целенаправленной. Шесть обнаруженных вредоносных программ написаны на PowerShell. Кроме того, Gamaredon возродила старый VBScript-инструмент PteroSetup. Особое внимание уделялось модернизации двух флагманских похитителей файлов: PteroVDoor и PteroPSDoor. Они были обновлены для поддержки выгрузки данных в облачные хранилища Wasabi, Tebi и Intercolo, что стало основным методом эксфильтрации. Этот шаг заметно упростил задачу злоумышленникам, поскольку облачные сервисы легальны, трафик в них сложнее отфильтровать, а сами данные смешиваются с обычным пользовательским потоком.
Параллельно Gamaredon активно искала способы защиты собственной инфраструктуры. Серверы управления и контроля (C&C) теперь маскируются за различными сторонними сервисами: туннелями, Cloudflare Workers, DDNS (динамическим DNS) и PaaS (платформа как услуга). Впервые за четыре года группировка вернулась к использованию DDNS от No-IP. Также злоумышленники применяют легитимные сервисы обмена сообщениями, социальные сети, блоги и сервисы для публикации текста в качестве dead-drop резолверов - то есть каналов для получения актуальных адресов C&C-серверов и распространения полезной нагрузки. Такая техника позволяет им быстро менять инфраструктуру и оставаться незамеченными для традиционных методов блокировки.
Отдельного внимания заслуживает сотрудничество Gamaredon с группой Turla. Эксперты ESET зафиксировали несколько совместных операций начиная с начала 2025 года. Ранее уже было известно о связи Gamaredon с другой группой - InvisiMole.
Последствия такой активности для украинских государственных учреждений крайне серьёзны. Постоянная утечка документов, служебной переписки и персональных данных сотрудников даёт противнику оперативное преимущество. Возможность эксфильтрации через облачные сервисы делает обнаружение атаки ещё более сложной задачей для служб информационной безопасности. При этом использование легитимных сервисов для dead-drop резолверов и скрытия C&C означает, что традиционные списки блокировки по IP-адресам и доменам теряют эффективность.
В целом деятельность Gamaredon в 2025 году демонстрирует высокий уровень адаптации группы к современным методам защиты. Переход на облачную эксфильтрацию и активное использование сервисов Cloudflare, DDNS и PaaS свидетельствует о стремлении операторов максимально усложнить обнаружение и противодействие их атакам. Слияние инструментария с другими группами, такими как Turla, создаёт дополнительную угрозу: комбинированные атаки могут сочетать лучшие техники сразу нескольких злоумышленников. Для украинских структур это означает необходимость внедрения поведенческого анализа трафика, усиления мониторинга облачных сервисов и регулярного обучения персонала распознаванию фишинговых писем.
Индикаторы компрометации
IPv4
- 167.88.164.202
- 172.235.166.243
- 69.67.173.214
Domain
- 4273twd6-80.euw.devtunnels.ms
- 7tnzsgp4-80.use.dev
- 8b82933574e0112129f7062a41689f7a.loophole.site
- 99a23d4d4f0c9ca8e8bac7d30a02442d.loophole.site
- alfred-assumptions-asin-winston.trycloudflare.com
- ch47f6gl-80.euw.devtunnels.ms
- cheese-metals-gourmet-interviews.trycloudflare.com
- d16ss6sn-80.euw.devtunnels.ms
- dushun.ru
- earlysilence.ru
- estaca.ru
- finally-election-audience-dont.trycloudflare.com
- graph-proved-physicians-ward.trycloudflare.com
- holdmyspice.ru
- innocent-fares-supposed-loved.trycloudflare.com
- jvyuwatt.ssuworker.workers.dev
- lettinggo.ru
- litanq.ru
- maybefallout.online
- maybefallout.ru
- parameter-iron-turns-combinations.trycloudflare.com
- ser-uk-defines-involved.trycloudflare.com
- srkwk.3742eddi.workers.dev
- stake.ytmrj83283.workers.dev
- szrtrboyre.fewwef.workers.dev
- veryinappropriate.ru
- wage.zpwyi71185.workers.dev
- wwpeeya.ignores.workers.dev
- x3f2q1cd-80.asse.devtunnels.ms
- x8b9b7q2-80.euw.devtunnels.ms
- your-combination-percent-gibson.trycloudflare.com
- zalupka.net
SHA1
- 09a22856890ab6aef6311ca2bd27be54e86da75c
- 0f952e6162bcc881f7f844f3e2c7cda9a5c74d72
- 256de94fdbf675e3ccb1adc42ab74771b5381b3f
- 41bdc7545ee8a7e37714ae6c4f69f95c846fcb38
- 42db9de2017f66ed3af88e7b1094891627b3c706
- 45ece835e5065775b7efd1cced99b6dd4fec6a3b
- 569265c1bde1d738963dd027beb24ae0dc864f7f
- 584685a6aa84192302df27c35e492b2846c06dd6
- 606c2692e409e40e6d563458fdf71faa9ea22557
- 61b03ff9d84eb653f9f66867dbf76dfb1e130e93
- 76ec9b898e3fed239af3895d9f3225efb1273dcc
- 7947737949cc3d273dfe8dbd9f70701a25ed05b8
- 7976f1e6b079008e56ae35f1afc6336d12cba8e1
- 7ef497c6a2ef33558c1caf41f6ec3614af898c4c
- 7fed429ff76c75bbf57d75152160beabf1edd886
- 8cb65fe85c25ce521139990689ac989b44a0a230
- b13b5b1186b5ac0558e692e72990eceb810bda47
- b66b2fb1a71a7e8caf3b9a90dd84a2a3619f5cc5
- ed5ba0ef9e2413f1cd29464209f7b5e347810299
- f045e11eea6af11867380141c1e1888f433b5342
- f718f25dccf68bd7cb28aa7cb526ffa54b0e51a8
- fa10d0469dbe45f2d359730135bda39b5cccc9be