BRATISLAVA, le 2 juillet 2025 — ESET Research publie un livre blanc sur la nouvelle boîte à outils de cyberespionnage de Gamaredon avec ses nouvelles techniques furtives et ses opérations de spearphishing agressives observées en 2024. Gamaredon, attribué par le Service de sécurité ukrainien (SSU) au 18e Centre de sécurité de l'information du Service fédéral de sécurité russe (FSB), cible les institutions gouvernementales ukrainiennes depuis au moins 2013. En 2024, Gamaredon visait exclusivement des institutions ukrainiennes. ESET Research démontre que le groupe reste très actif mais a considérablement adapté ses tactiques et ses outils. Son objectif est du cyberespionnage lié aux intérêts géopolitiques russes. L'an dernier, le groupe a considérablement accru la taille et la fréquence de ses campagnes de spearphishing avec des nouvelles méthodes de diffusion et une charge utile d'attaque utilisée uniquement pour diffuser de la propagande russe.

Le spearphishing de Gamaredon s’est considérablement intensifié au second semestre 2024. Les campagnes duraient généralement entre un et cinq jours, les e-mails contenant des archives malveillantes (RAR, ZIP, 7z) ou des fichiers XHTML utilisant des techniques de contrebande HTML. Ces fichiers diffusaient des fichiers HTA ou LNK malveillants exécutant des téléchargeurs VBScript intégrés, tels que PteroSand. En octobre 2024, ESET a observé un cas rare où des e-mails de spearphishing contenaient des hyperliens malveillants au lieu de pièces jointes, une déviation comparée aux tactiques courantes de Gamaredon. Celui-ci a introduit une nouvelle technique : l'utilisation de fichiers LNK malveillants pour exécuter directement des commandes PowerShell depuis des domaines générés par Cloudflare. Il contourne ainsi des mécanismes de détection traditionnels.

La boîte à outils de Gamaredon a bénéficié d’importantes mises à jour. Moins de nouveaux outils mais des ressources importantes ont été consacrées à la mise à jour et à l'amélioration des outils existants. Les nouveaux outils sont conçus pour la furtivité, la persistance et le déplacement latéral. Les outils existants ont bénéficié d'améliorations majeures, dont une meilleure obfuscation, des meilleures tactiques de furtivité et des méthodes sophistiquées de déplacement latéral et d'exfiltration de données.

« Une découverte très intéressante a été faite en juillet 2024. C’est une charge utile VBScript ad hoc unique, diffusée par les téléchargeurs de Gamaredon. Cette dernière n'avait aucune fonction d'espionnage, mais son but était d'ouvrir automatiquement un canal de propagande Telegram nommé « Gardiens d'Odessa », diffusant des messages pro-russes pour la région d'Odessa », explique Zoltán Rusnák, chercheur chez ESET, spécialiste de Gamaredon.

Tout au long de 2024, Gamaredon a aussi fait preuve d'une détermination constante à contourner les défenses réseau. Le groupe a continué, à échelle réduite, à exploiter des techniques DNS à flux rapide, avec de fréquentes rotations d'adresses IP derrière ses domaines. Gamaredon s'est encore plus appuyé sur des services tiers tels que Telegram, Telegraph, Codeberg, Dropbox et les tunnels Cloudflare pour obscurcir et distribuer de façon dynamique son infrastructure C&C.

« Malgré les limitations de capacité observées et l'abandon d'outils obsolètes, Gamaredon demeure un acteur majeur de la menace grâce à son innovation continue, ses campagnes de spearphishing agressives et ses efforts constants pour échapper à la détection. Tant qu’il y aura la guerre de la Russie contre l'Ukraine, nous prévoyons que Gamaredon continuera à faire évoluer ses tactiques et à intensifier ses opérations de cyberespionnage contre les institutions ukrainiennes », conclut Rusnák.

Pour une analyse plus détaillée et technique des outils de Gamaredon, consultez le livre blanc d'ESET Research, « Gamaredon en 2024 : Lancer des campagnes de spearphishing contre l'Ukraine avec un ensemble d'outils évolué », sur www.WeliveSecurity.com. Suivez ESET Research sur X, BlueSky et Mastodon pour les dernières nouvelles.