Про це повідомляє словацька компанія з кібербезпеки ESET, передає The Hacker News.
Читайте также: Залужний Зріст Вага – подробная информация о физических данных и биографии
«Протягом усього 2025 року хакери Gamaredon виявляли високу активність і були зосереджені виключно на Україні, — зазначили в ESET. — Кінцевою метою угруповання залишається викрадення конфіденційної інформації та інших критично важливих даних, які можуть бути використані для підтримки інтересів росії у тривалій війні проти України».
Для проведення цільового фішингу хакери використовують вкладені архіви або файли XHTML. Завдяки технології прихованого завантаження вони доставляють на пристрій шкідливі HTA-завантажувачі, які згодом встановлюють інші віруси, зокрема PteroSand. Крім того, в окремих атаках зловмисники використали нещодавно закриту вразливість у WinRAR (CVE-2025-8088), щоб закинути шкідливий файл прямо в папку автозапуску Windows жертви.
Через це вірус автоматично запускається під час кожного наступного входу в систему, дозволяючи хакерам надійно закріпитися на комп’ютері. Для подальшого просування всередині зламаної мережі Gamaredon використовує утиліти PteroLNK та PteroPaste. Вони заражають флешки та мережеві диски шкідливими LNK-файлами. Коли нічого не підозрюючий користувач відкриває такий ярлик, автоматично стартує завантаження основного шкідливого софту.
Хакери також застосовують PteroSetup. Це старіша утиліта на базі скриптів VBScript, яку вперше помітили ще у січні 2021 року і з того часу вважали занедбаною. Програма шукає на флешках та мережевих дисках звичайні інсталяційні файли (файли встановлення програм) і підміняє їх на саморозпакувальні архіви 7z (SFX). Всередині такого архіву ховається оригінальний інсталятор разом із вірусним VBScript-завантажувачем.
«Протягом 2025 року угруповання почало значно активніше використовувати сторонні інструменти. Сервіси тунелювання та платформи безсерверних обчислень стали ключовими елементами, за допомогою яких зловмисники ховали свою реальну бекенд-інфраструктуру», — зазначили експерти з ESET.
Читайте также: Українська defense-tech компанія DevDroid оголосила про стратегічну співпрацю з норвезькою Kongsberg Defence & Aerospace
«Хоча у січні 2025 року угруповання зробило коротку операційну паузу, більшу частину першого півріччя Gamaredon присвятив розробці та розгортанню нових інструментів», — зазначив дослідник ESET Золтан Руснак.
«Багато оновлень з’являлося напередодні головних свят у росії та Криму. Прикметно, що під час самих свят або одразу після них жодних оновлень не зафіксовано. Це додатково свідчить на користь того, що оператори Gamaredon, ймовірно, є штатними державними службовцями».
Іншим примітним аспектом кампанії цього кіберугруповання є використання широкого спектра легітимних сервісів як каналів для виведення даних та як «мертвих точок» для отримання інформації про C2-сервер та перенаправлення шкідливого ПЗ на інфраструктуру, яка вже схована за тунелями або безсерверними обчисленнями.
«Як і в попередні роки, відносну простоту свого шкідливого софту угруповання компенсувало наполегливістю, частими оновленнями та дедалі креативнішим зловживанням легітимними онлайн-сервісами, — зазначили в ESET. — Gamaredon ще більше розширив використання цифровізованих „тайників“, тунелів, безсерверних обчислень, динамічного DNS та хмарних сховищ, що зробило його операції гнучкішими, а протидію їм — значно складнішою».
Читайте также: Трійку найбільших виробників оперативної пам’яті звинуватили у змові та штучному зростанні цін