Gamaredon en 2025: Túneles, Trabajadores, Puntos Muertos y Nuevas Alianzas
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Gamaredon, un grupo APT alineado con Rusia, ha adaptado aún más sus operaciones en 2025 al abusar de servicios legítimos de terceros para ocultar infraestructura de mando y control y actividades de robo de datos. El grupo se basa en túneles, trabajadores y plataformas de entrega como Telegram y Dropbox para ocultar el tráfico malicioso. También ha introducido nuevas herramientas basadas en PowerShell y actualizado sus ladrones de archivos para soportar la exfiltración a almacenamiento en la nube compatible con S3.
Investigación
ESET Research revisó las operaciones de Gamaredon en 2025 y observó un cambio hacia campañas de spearphishing más grandes combinadas con técnicas de contrabando de HTML. La investigación identificó nuevas herramientas de entrega, un uso más intensivo de trabajadores y túneles de Cloudflare, y una continua dependencia en resolvers de entrega. Los investigadores también documentaron la cooperación con otros actores alineados con Rusia, incluido Turla.
Mitigación
Los defensores deben vigilar conexiones salientes inusuales a plataformas legítimas de almacenamiento en la nube y servicios sin servidor. Aplicar controles estrictos sobre la ejecución de HTA y VBScript puede ayudar a bloquear las etapas tempranas de la infección. También se recomienda monitorear el abuso de servicios de DNS dinámico y plataformas de entrega comúnmente usadas.
Respuesta
Si se detecta actividad de Gamaredon, los sistemas afectados deben ser aislados inmediatamente para prevenir un movimiento adicional a través de dispositivos USB armados o recursos compartidos de red. Los investigadores deben realizar una revisión completa de cualquier acceso no autorizado a cuentas de almacenamiento en la nube. También se debe verificar la telemetría para conexiones a servicios de túneles y trabajadores conocidos asociados con el grupo.
Flujo de Ataque
Detecciones
Posible Infiltración / Exfiltración de Datos / C2 vía Servicios de Terceros / Herramientas (via línea de comandos)
Ver
Posible Infiltración / Exfiltración de Datos / C2 vía Servicios de Terceros / Herramientas (via consulta dns)
Ver
Consulta DNS de Proceso Sospechoso Conocido de Abuso en Servicios Web (via conexión de red)
Ver
Posible Abuso de la API de Visual Studio Code Como Canal C2 (via consulta dns)
Ver
Posible Abuso de la API de Visual Studio Code Como Canal C2 (via proxy)
Ver
Comunicación Sospechosa con el Dominio Trycloudflare (via dns)
Ver
Binarios / Scripts Sospechosos en Ubicación de Inicio Automático (via evento de archivo)
Ver
Intento de Explotación de CVE-2025-8088 / CVE-2025-6218 (Vulnerabilidad de WinRAR) (via evento de archivo)
Ver
Posible Abuso de Telegram Como Canal de Comando y Control (via consulta dns)
Ver
Detección de la Configuración de Ptero y Explotación de CVE-2025-8088 de WinRAR [Creación de Procesos en Windows]
Ver
Detección de Descargadores PowerShell de Gamaredon [PowerShell en Windows]
Ver
Ejecución de Simulación
Requisito previo: El chequeo previo de Telemetría & Línea Base debe haber aprobado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica (TTP) del adversario diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa de Ataque & Comandos: El adversario busca establecer una base descargando una carga útil de segunda etapa. Para evitar la detección por herramientas básicas basadas en firmas, generalmente utilizan módulos descargadores específicos. En esta simulación, primero ejecutaremos la versión «detectable» para confirmar que la regla funciona, y luego ejecutaremos una versión «ofuscada» para demostrar la debilidad de la regla. El objetivo es simular la ejecución del
módulo que obtiene instrucciones C2 de un archivo alojado en la nube.Script de Prueba de Regresión: -
# — PARTE 1: DETECCIÓN EXITOSA (El Ataque «Ruidoso») — Write-Host «[+] Ejecutando comando detectable…» powershell.exe -ExecutionPolicy Bypass -Command «& {Write-Host ‘Inicializando descargador de PteroDee…’; Start-Sleep -s 2}» # — PARTE 2: PRUEBA DE EVASIÓN (El Ataque «Sigiloso») — # Esto demuestra cómo un adversario elude la regla usando concatenación de cadenas Write-Host «[+] Ejecutando comando ofuscado (Evasión)…» $part1 = «Ptero» $part2 = «Dee» $cmd = «& {Write-Host ‘Inicializando ‘ + ‘$part1’ + ‘$part2’ + ‘ descargador…’; Start-Sleep -s 2}» powershell.exe -ExecutionPolicy Bypass -Command $cmd Write-Host «[+] Simulación Completa.»
# --- PART 1: SUCCESSFUL DETECTION (The "Loud" Attack) --- Write-Host "[+] Executing detectable command..." powershell.exe -ExecutionPolicy Bypass -Command "& {Write-Host 'Initializing PteroDee downloader...'; Start-Sleep -s 2}" # --- PART 2: EVASION TEST (The "Stealthy" Attack) --- # This demonstrates how an adversary bypasses the rule using string concatenation Write-Host "[+] Executing obfuscated command (Evasion)..." $part1 = "Ptero" $part2 = "Dee" $cmd = "& {Write-Host 'Initializing ' + '$part1' + '$part2' + ' downloader...'; Start-Sleep -s 2}" powershell.exe -ExecutionPolicy Bypass -Command $cmd Write-Host "[+] Simulation Complete." -
Comandos de Limpieza:
# No se realizaron cambios permanentes en el sistema. # Simplemente limpiar el historial de PowerShell para la sesión actual. Clear-History