У 2025 році російське хакерське угруповання Gamaredon провело 35 окремих кампаній цільового фішингу проти України, причому більшість атак припала на другу половину року. Головними мішенями зловмисників стали українські державні та військові установи.
У 2025 році російське хакерське угруповання Gamaredon провело 35 окремих кампаній цільового фішингу проти України, причому більшість атак припала на другу половину року. Головними мішенями зловмисників стали українські державні та військові установи.
Про це повідомляє словацька компанія з кібербезпеки ESET, передає The Hacker News.
«Протягом усього 2025 року хакери Gamaredon виявляли високу активність і були зосереджені виключно на Україні, — зазначили в ESET. — Кінцевою метою угруповання залишається викрадення конфіденційної інформації та інших критично важливих даних, які можуть бути використані для підтримки інтересів росії у тривалій війні проти України».
Для проведення цільового фішингу хакери використовують вкладені архіви або файли XHTML. Завдяки технології прихованого завантаження вони доставляють на пристрій шкідливі HTA-завантажувачі, які згодом встановлюють інші віруси, зокрема PteroSand. Крім того, в окремих атаках зловмисники використали нещодавно закриту вразливість у WinRAR (CVE-2025-8088), щоб закинути шкідливий файл прямо в папку автозапуску Windows жертви.
Через це вірус автоматично запускається під час кожного наступного входу в систему, дозволяючи хакерам надійно закріпитися на комп’ютері. Для подальшого просування всередині зламаної мережі Gamaredon використовує утиліти PteroLNK та PteroPaste. Вони заражають флешки та мережеві диски шкідливими LNK-файлами. Коли нічого не підозрюючий користувач відкриває такий ярлик, автоматично стартує завантаження основного шкідливого софту.
Хакери також застосовують PteroSetup. Це старіша утиліта на базі скриптів VBScript, яку вперше помітили ще у січні 2021 року і з того часу вважали занедбаною. Програма шукає на флешках та мережевих дисках звичайні інсталяційні файли (файли встановлення програм) і підміняє їх на саморозпакувальні архіви 7z (SFX). Всередині такого архіву ховається оригінальний інсталятор разом із вірусним VBScript-завантажувачем.
«Протягом 2025 року угруповання почало значно активніше використовувати сторонні інструменти. Сервіси тунелювання та платформи безсерверних обчислень стали ключовими елементами, за допомогою яких зловмисники ховали свою реальну бекенд-інфраструктуру», — зазначили експерти з ESET.
«Хоча у січні 2025 року угруповання зробило коротку операційну паузу, більшу частину першого півріччя Gamaredon присвятив розробці та розгортанню нових інструментів», — зазначив дослідник ESET Золтан Руснак.
«Багато оновлень з’являлося напередодні головних свят у росії та Криму. Прикметно, що під час самих свят або одразу після них жодних оновлень не зафіксовано. Це додатково свідчить на користь того, що оператори Gamaredon, ймовірно, є штатними державними службовцями».
Іншим примітним аспектом кампанії цього кіберугруповання є використання широкого спектра легітимних сервісів як каналів для виведення даних та як «мертвих точок» для отримання інформації про C2-сервер та перенаправлення шкідливого ПЗ на інфраструктуру, яка вже схована за тунелями або безсерверними обчисленнями.
«Як і в попередні роки, відносну простоту свого шкідливого софту угруповання компенсувало наполегливістю, частими оновленнями та дедалі креативнішим зловживанням легітимними онлайн-сервісами, — зазначили в ESET. — Gamaredon ще більше розширив використання цифровізованих „тайників“, тунелів, безсерверних обчислень, динамічного DNS та хмарних сховищ, що зробило його операції гнучкішими, а протидію їм — значно складнішою».
