ESET Research ha analizado las actividades de Gamaredon, un grupo APT alineado con Rusia que opera desde al menos 2013 y que actualmente es el más activo en Ucrania. Según el Servicio de Seguridad de Ucrania (SSU), Gamaredon está vinculado al 18º Centro de Seguridad de la Información del FSB ruso, con base en la Crimea ocupada.
ESET también ha descubierto que este grupo colabora con otro actor de ciberamenazas: InvisiMole, descubierto por los investigadores de la misma compañía. Aunque la mayoría de sus operaciones de ciberespionaje están dirigidas a instituciones gubernamentales ucranianas, en abril de 2022 y febrero de 2023 se identificaron intentos de comprometer objetivos en países de la OTAN como Bulgaria, Letonia, Lituania y Polonia. A pesar de ello, no se registraron brechas exitosas.
Gamaredon emplea técnicas de ofuscación en constante cambio y un conjunto variado de estrategias para evadir los bloqueos basados en dominios, lo que complica la detección automatizada de sus herramientas. Sin embargo, los investigadores de ESET lograron identificar y monitorizar sus actividades, revelando que Gamaredon había estado utilizando sus herramientas maliciosas desde mucho antes de la invasión rusa de Ucrania de febrero de 2022. Para expandir su red de víctimas, el grupo recurre a campañas de spearphishing, tras lo cual utiliza malware personalizado que convierte en armas archivos de Word y unidades USB, confiando en que las víctimas iniciales compartan estos archivos con otros potenciales objetivos.
“A diferencia de otros grupos APT, Gamaredon no se preocupa por mantenerse oculto usando técnicas sofisticadas durante sus operaciones de ciberespionaje. Sus operadores son bastante imprudentes y no les importa ser detectados”, explica el investigador de ESET Zoltán Rusnák, quien investigó a Gamaredon. “Sin embargo, se esfuerzan mucho en evitar ser bloqueados por las soluciones de seguridad y en asegurarse de mantener acceso a los sistemas que han comprometido”.