Gamaredon evolve le tecniche di cyber spionaggio: cloud legittimi e social network diventano infrastrutture d’attacco

ESET Research analizza l'evoluzione di Gamaredon: nuovi malware PowerShell, cloud storage, dead drop e collaborazione tra gruppi APT filorussi.

Secondo l’ultimo report di ESET Research, il gruppo di cyber spionaggio Gamaredon, ritenuto vicino all’intelligence russa, ha affinato nel corso del 2025 le proprie tecniche operative facendo sempre più leva su servizi cloud e piattaforme online legittime per occultare le proprie attività. Un’evoluzione che conferma il progressivo spostamento degli attori APT (Advanced Persistent Threat) verso infrastrutture difficili da distinguere dal normale traffico aziendale.

L’analisi evidenzia come il gruppo abbia continuato a prendere di mira esclusivamente enti governativi e organizzazioni militari ucraine, sviluppando nuovi strumenti offensivi e introducendo modalità più sofisticate per la gestione dei server di comando e controllo (C&C) e per l’esfiltrazione dei dati.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Sei nuovi strumenti PowerShell arricchiscono l’arsenale di Gamaredon

Nel corso del 2025 ESET ha identificato sei nuovi malware sviluppati in PowerShell: PteroDee, PteroCache, PteroDum, PteroOdd, PteroPaste e PteroEffigy.

Tra questi, PteroPaste rappresenta l’evoluzione più significativa. Lo strumento combina infatti più funzionalità in un unico framework, integrando downloader, meccanismi di persistenza e capacità di propagazione tramite dispositivi USB compromessi.

Il gruppo ha inoltre ripreso a utilizzare PteroSetup, uno strumento basato su VBScript già osservato nel 2021, confermando una strategia che alterna nuovi sviluppi al riutilizzo di componenti già collaudati.

Cloud storage e servizi legittimi per nascondere il traffico malevolo

Uno degli aspetti più rilevanti emersi dalla ricerca riguarda l’utilizzo crescente di servizi cloud commerciali per l’esfiltrazione delle informazioni sottratte alle vittime.

Gamaredon ha aggiornato i malware PteroPSDoor e PteroVDoor affinché possano caricare i dati rubati su piattaforme compatibili con le API Amazon S3, tra cui Wasabi, Tebi e Intercolo, mentre il tool PteroBox continua a utilizzare Dropbox.

Dal punto di vista della difesa informatica, questa tecnica rende molto più complessa l’individuazione del traffico malevolo, che può apparire come normale utilizzo di servizi cloud ampiamente diffusi nelle organizzazioni.

Leggi anche:  Kaspersky scopre Umbrij: il nuovo malware di ToddyCat che prende di mira gli account Gmail aziendali

Per i team di cybersecurity, il fenomeno conferma come il monitoraggio delle sole destinazioni IP sospette non sia più sufficiente: diventa sempre più importante analizzare il comportamento delle applicazioni e i flussi di dati.

Telegram, Mastodon e Dropbox utilizzati come “dead drop”

Un’altra tecnica documentata da ESET riguarda il ricorso ai cosiddetti dead drop online, una pratica mutuata dallo spionaggio tradizionale.

Anziché inserire direttamente nei malware l’indirizzo del server di comando e controllo, gli operatori pubblicano tali informazioni su servizi perfettamente legittimi. Il malware recupera quindi le istruzioni da pagine pubbliche presenti su piattaforme come Telegram, Dropbox, DEV Community, Mastodon e altri servizi online, per poi collegarsi successivamente ai server effettivamente utilizzati dagli attaccanti.

Questo approccio consente di aumentare la resilienza dell’infrastruttura e ridurre le possibilità di rilevamento.

Collaborazione tra gruppi APT filorussi

Il report mette inoltre in evidenza un elemento sempre più ricorrente nello scenario delle minacce: la collaborazione tra diversi gruppi riconducibili alla Russia.

Nel 2025 ESET ha osservato una cooperazione tra Gamaredon e Turla, storico gruppo APT noto per le proprie attività di cyber spionaggio.

I ricercatori ricordano inoltre precedenti collaborazioni con InvisiMole e segnalano anche casi in cui il gruppo UAC-0099 avrebbe svolto le attività di compromissione iniziale, trasferendo successivamente gli accessi ottenuti a Sandworm, altro attore già noto per operazioni di cyber warfare.

Secondo ESET, questa specializzazione delle attività suggerisce un modello operativo sempre più strutturato, nel quale diversi gruppi condividono competenze e infrastrutture per massimizzare l’efficacia delle campagne.

Spear phishing più frequente e infrastrutture più resilienti

Nel secondo semestre del 2025 Gamaredon ha inoltre intensificato le campagne di spear phishing, aumentandone sia la frequenza sia la portata.

Leggi anche:  Schneider Electric modernizza e unifica i propri sistemi di videosorveglianza con Genetec Security Center

Parallelamente il gruppo ha rafforzato la propria infrastruttura di rete ricorrendo a servizi di Dynamic DNS (DDNS), Platform as a Service (PaaS), tunnel e worker per mascherare i server di comando e controllo.

Secondo i ricercatori di ESET, l’insieme di queste tecniche dimostra una crescente maturità operativa e conferma come gli attori APT stiano sfruttando sempre più infrastrutture cloud e servizi legittimi per rendere più difficile l’individuazione delle proprie attività.

Per le organizzazioni, il report evidenzia la necessità di affiancare ai tradizionali strumenti di difesa un monitoraggio continuo dei comportamenti anomali, dell’utilizzo dei servizi cloud e delle tecniche di evasione adottate dai gruppi di cyber spionaggio più evoluti.

Per ulteriori dettagli su Gamaredon e sulle attività nel 2025, consultare il white paper “Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances,” disponibile su WeLiveSecurity.com