Gamaredon

Grupo APT russo Gamaredon intensifica ataques cibernéticos à Ucrânia

O grupo russo de ameaças persistentes avançadas (APT) Gamaredon tem ampliado seu arsenal de malware e intensificado suas campanhas de spear-phishing contra a Ucrânia ao longo de 2025. A empresa de cibersegurança ESET identificou 35 campanhas distintas, com foco em instituições governamentais e militares ucranianas. O objetivo principal do grupo é a exfiltração de informações sensíveis que possam ser utilizadas para apoiar os interesses russos na guerra em curso. As campanhas utilizam anexos maliciosos e técnicas de HTML smuggling para implantar downloaders HTA, que, por sua vez, instalam outros malwares, como o PteroSand. Além disso, o grupo explorou uma vulnerabilidade no WinRAR (CVE-2025-8088) para garantir a persistência do malware. Gamaredon também introduziu novas ferramentas PowerShell e aumentou sua dependência de serviços de terceiros para ocultar sua infraestrutura. Apesar de uma pausa operacional em janeiro, o grupo continuou a desenvolver e atualizar suas ferramentas, utilizando serviços legítimos para exfiltração de dados. A evolução das táticas do Gamaredon destaca a necessidade de vigilância contínua e atualização das defesas cibernéticas, especialmente em um cenário de conflito ativo.

Grupo de hackers russo Gamaredon explora vulnerabilidade do WinRAR

O grupo de hackers russo Gamaredon está explorando uma vulnerabilidade no WinRAR, identificada como CVE-2025-8088, para disseminar diversas famílias de malware voltadas para o roubo de dados. A empresa de cibersegurança Sekoia observou que, desde janeiro de 2026, o grupo utiliza um payload de Aplicação HTML chamado GammaPhish, que serve para baixar um script em Visual Basic (VBScript) conhecido como GammaLoad. Este último, por sua vez, é responsável por implantar um worm chamado GammaWorm, que se infiltra em sistemas, oculta diretórios legítimos e substitui-os por arquivos de atalho maliciosos, permitindo a execução de código arbitrário. O GammaWorm se comunica com um canal público do Telegram para evitar detecções e garantir operações de espionagem a longo prazo. Além disso, uma família de malware chamada GammaSteel é utilizada para roubar informações e enviar dados para servidores controlados pelos atacantes. O Gamaredon, vinculado ao Serviço Federal de Segurança da Rússia (FSB), tem um histórico de ataques direcionados à Ucrânia, utilizando e-mails de spear-phishing com anexos maliciosos. A arquitetura modular e adaptável do malware sugere que ele pode ser reutilizado em futuras campanhas.

Gamaredon Lança Nova Campanha de Phishing Contra Entidades Governamentais

O grupo de cibercriminosos Gamaredon, conhecido por atacar agências governamentais da Europa Oriental, iniciou uma nova campanha de phishing que explora uma vulnerabilidade crítica no WinRAR, identificada como CVE-2025-8088. Essa falha permite que atacantes contornem controles de segurança e extraiam arquivos maliciosos para locais arbitrários do sistema sem interação do usuário, além de abrir um arquivo PDF aparentemente inofensivo.

A técnica utilizada é sofisticada: os atacantes criam arquivos RAR armados que contêm um PDF legítimo e um arquivo HTA malicioso. Ao interagir com o arquivo, a vulnerabilidade é ativada, permitindo que o malware seja depositado silenciosamente na pasta de inicialização do Windows, garantindo sua persistência e execução após a reinicialização do sistema.

Grupos de hackers russos Gamaredon e Turla colaboram em ataques à Ucrânia

Pesquisadores de cibersegurança da ESET identificaram uma colaboração entre os grupos de hackers russos Gamaredon e Turla, ambos associados ao Serviço Federal de Segurança da Rússia (FSB), visando entidades ucranianas. Em fevereiro de 2025, ferramentas do Gamaredon, como PteroGraphin e PteroOdd, foram utilizadas para executar o backdoor Kazuar do grupo Turla em sistemas na Ucrânia. O Kazuar, um malware frequentemente atualizado, é conhecido por sua capacidade de espionagem e coleta de dados. A ESET observou que o PteroGraphin foi usado para reiniciar o Kazuar após falhas, indicando uma estratégia de recuperação. Além disso, em abril e junho de 2025, foram detectadas implantações do Kazuar v2 através de outras ferramentas do Gamaredon. A invasão da Ucrânia pela Rússia em 2022 parece ter intensificado essa colaboração, com foco em setores de defesa. Os ataques têm como alvo informações sensíveis, utilizando técnicas como spear-phishing e arquivos LNK maliciosos. A ESET alerta que a combinação de ferramentas e a troca de informações entre os grupos aumentam o risco para as entidades ucranianas, e a situação requer atenção contínua.