ESET Research ha revelado las operaciones cibernéticas de Gamaredon, un grupo de amenazas persistentes avanzadas (APT) alineado con Rusia, que ha dirigido sus esfuerzos de espionaje hacia instituciones gubernamentales de Ucrania y países de la OTAN. Según el Servicio de Seguridad de Ucrania (SSU), este grupo, activo desde 2013, está vinculado al 18º Centro de Seguridad de la Información del FSB ruso, con base en Crimea.
Desde la invasión rusa en febrero de 2022, Gamaredon ha centrado sus ataques principalmente en instituciones gubernamentales ucranianas, aunque también ha intentado comprometer objetivos en varios países de la OTAN, incluyendo Bulgaria, Letonia, Lituania y Polonia. A través de campañas de spearphishing y el uso de malware personalizado, el grupo ha logrado infiltrarse en sistemas críticos, exfiltrando datos sensibles y manteniendo acceso persistente a las redes comprometidas.
Entre las principales tácticas de Gamaredon destaca el uso de spearphishing para comprometer sistemas mediante archivos de Word y USB infectados. A pesar de la simplicidad de sus herramientas, como backdoors y descargadores de datos personalizados, el grupo ha mejorado sus capacidades en los últimos años, especialmente con el desarrollo de scripts en PowerShell diseñados para robar información de correos electrónicos, aplicaciones de mensajería como Signal y Telegram, y aplicaciones web.
En agosto de 2023, ESET descubrió una nueva herramienta llamada PteroBleed, centrada en sustraer datos de sistemas militares ucranianos. La imprudencia de Gamaredon al no preocuparse por mantenerse oculto hace que su enfoque agresivo continúe representando una amenaza crítica para Ucrania y sus aliados en la OTAN.
El arsenal de Gamaredon incluye una variedad de herramientas desarrolladas en PowerShell, VBScript y C, diseñadas para evadir la detección y dificultar el análisis. Entre las herramientas más destacadas se encuentran:
Gamaredon utiliza técnicas avanzadas para evadir la detección, como el uso de DNS de flujo rápido para cambiar frecuentemente las direcciones IP de sus servidores C&C. Además, emplea servicios legítimos de terceros como Telegram y Cloudflare para resolver dominios y proteger las direcciones IP de sus servidores.
A pesar de la falta de sofisticación técnica en algunas de sus herramientas, Gamaredon compensa con actualizaciones frecuentes y técnicas de ofuscación avanzadas. Su enfoque principal sigue siendo Ucrania, y se espera que continúe así mientras el conflicto persista. La comunidad de ciberseguridad debe permanecer vigilante y adaptar sus defensas para contrarrestar las tácticas en constante evolución de este grupo.
La persistencia y adaptabilidad de Gamaredon subrayan la importancia de una ciberseguridad robusta y proactiva. Las organizaciones deben implementar medidas de seguridad avanzadas y mantenerse informadas sobre las últimas amenazas para proteger sus activos más valiosos.
De los 942,1 millones de dólares que ingresó en el tercer trimestre, 900,3 millones corresponden…
“En 2024 se ha registrado un crecimiento exponencial en los ciberataques, con empresas de todo…
Durante su trimestre más reciente acumuló un total de 35.100 millones de dólares.
Durante su ejercicio fiscal 2024 mejoró un 9 % los ingresos totales subyacentes, por encima…
Ha estrenado oficinas en Zaragoza, está presente en el Parque Tecnológico Walqa y tiene previsto…
Ha celebrado la cuarta edición de la cita tecnológica eProcurement Tech Summit.