El grupo de hackers Gamaredon (también conocido como “Shuckworm”) respaldado por el estado ruso, ha atacado una misión militar de un país occidental en Ucrania mediante el uso de dispositivos extraíbles maliciosos.
¿Cómo Se Llevó a Cabo el Ataque? 💻
Según los investigadores de amenazas de Symantec, la campaña comenzó en febrero de 2025 y continuó hasta marzo, con los atacantes desplegando una versión actualizada del malware GammaSteel. Un malware diseñado especialmente para robar información y exfiltrar datos.
Los expertos indican que el acceso inicial a los sistemas comprometidos probablemente se logró mediante unidades extraíbles (pendrives) que contenían archivos maliciosos de tipo .LNK, una táctica que Gamaredon ya ha utilizado anteriormente.
Cambios en las Tácticas de los Hackers 🔐
A lo largo de la investigación, los expertos notaron un cambio significativo en las tácticas del grupo, como el paso de scripts VBS a herramientas basadas en PowerShell, mayor ofuscación de los payloads (archivos maliciosos) y el uso incrementado de servicios legítimos para evadir detección.
El ataque comenzó con un archivo files.lnk en un dispositivo extraíble, que permitió que el malware se activara desde el registro de Windows.
Luego, un script altamente ofuscado generó y ejecutó dos archivos: Uno que gestionaba las comunicaciones con el servidor de control (C2) y otro que se encargaba de propagar el malware a otras unidades extraíbles y de red.
Exfiltración de Datos y Robo de Información 🛠️
El malware utilizado por Gamaredon tenía la capacidad de robar documentos como .DOC, .PDF, .XLS, y .TXT desde ubicaciones clave, como el Escritorio, Documentos y Descargas, lo que refuerza el enfoque continuo del grupo en el espionaje.
Utilizando herramientas como certutil.exe y PowerShell, el malware lograba exfiltrar los archivos robados.
Si esta transferencia fallaba, se utilizaba cURL sobre Tor para evitar la detección y asegurar el envío de los datos robados.
Perspectivas Futuras del Grupo Gamaredon 📈
Este reciente ataque refleja el esfuerzo de Gamaredon por aumentar la sigilosidad y efectividad operativa, a pesar de que el grupo es considerado menos sofisticado en comparación con otros actores rusos de ciberseguridad.
A pesar de su limitada sofisticación, las tácticas mejoradas de Gamaredon elevan los riesgos para las redes occidentales, especialmente debido a la tenacidad del grupo y su continua actividad.
El ataque pone de relieve la creciente amenaza que representan estos grupos de hackers respaldados por el estado ruso, que emplean técnicas cada vez más complejas y difíciles de detectar para llevar a cabo sus objetivos de espionaje y desestabilización.
📌 Más Artículos Relacionados
Descubre más desde CIBERNINJAS
Suscríbete y recibe las últimas entradas en tu correo electrónico.