SOC Prime Bias: Critique

30 Jun 2026 07:05 UTC

Gamaredon en 2025 : Tunnels, Opérateurs, Boîtes mortes et Nouvelles Alliances

Author Photo
SOC Prime Team linkedin icon Suivre
Gamaredon en 2025 : Tunnels, Opérateurs, Boîtes mortes et Nouvelles Alliances
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Gamaredon, un groupe APT aligné sur la Russie, a encore adapté ses opérations en 2025 en abusant de services tiers légitimes pour dissimuler l’infrastructure de commandement et de contrôle et l’activité de vol de données. Le groupe s’appuie sur des tunnels, des workers et des plates-formes de dépôt telles que Telegram et Dropbox pour masquer le trafic malveillant. Il a également introduit de nouveaux outils basés sur PowerShell et mis à jour ses voleurs de fichiers pour prendre en charge l’exfiltration vers un stockage en nuage compatible S3.

Enquête

Les recherches d’ESET ont examiné les opérations de Gamaredon en 2025 et ont observé un virage vers des campagnes de harponnage plus larges combinées à des techniques de contrebande HTML. L’enquête a identifié de nouveaux outils de livraison, une utilisation plus intensive des workers et tunnels Cloudflare, et une dépendance continue à l’égard des résolveurs de dépôt. Les chercheurs ont également documenté une coopération avec d’autres acteurs alignés sur la Russie, dont Turla.

Atténuation

Les défenseurs devraient surveiller les connexions sortantes inhabituelles vers les plates-formes de stockage en nuage légitimes et les services sans serveur. L’application de contrôles stricts sur l’exécution de HTA et VBScript peut aider à bloquer les premières étapes de l’infection. La surveillance de l’abus des services de DNS dynamiques et des plates-formes de dépôt couramment utilisées est également recommandée.

Réponse

Si une activité de Gamaredon est détectée, les systèmes affectés doivent être isolés immédiatement pour prévenir de nouveaux mouvements via des dispositifs USB armés ou des partages de réseau. Les enquêteurs doivent procéder à un examen complet de tout accès non autorisé aux comptes de stockage en nuage. La télémétrie doit également être vérifiée pour les connexions aux services de tunnel et de workers associés au groupe.

Flux d’Attaque

Exécution de Simulation

Prérequis: La vérification Télémetrie & Baseline Pre-flight doit être réussie.

Rationnel: Cette section détaille l’exécution précise de la technique adverse (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à un diagnostic incorrect.

  • Narratif & Commandes d’Attaque : L’adversaire vise à établir un point d’appui en téléchargeant une charge utile de seconde étape. Pour éviter la détection par des outils de signature de base, ils utilisent généralement des modules de téléchargement spécifiques. Dans cette simulation, nous exécuterons d’abord la version « détectable » pour confirmer le fonctionnement de la règle, puis exécuterons une version « obfusquée » pour démontrer la faiblesse de la règle. Le but est de simuler l’exécution du module qui récupère les instructions C2 à partir d'un fichier hébergé dans le nuage. module which fetches C2 instructions from a cloud-hosted file.

  • Script de Test de Régression:

    # --- PARTIE 1: DÉTECTION RÉUSSIE (L'Attaque "BRUYANTE") ---
    Write-Host "[+] Exécution de la commande détectable..."
    powershell.exe -ExecutionPolicy Bypass -Command "& {Write-Host 'Initialisation du téléchargeur PteroDee...'; Start-Sleep -s 2}"
    
    # --- PARTIE 2: TEST D'ÉVASION (L'Attaque "FURTIVE") ---
    # Cela montre comment un adversaire contourne la règle en utilisant la concaténation de chaînes
    Write-Host "[+] Exécution de la commande obfusquée (Évasion)..."
    $part1 = "Ptero"
    $part2 = "Dee"
    $cmd = "& {Write-Host 'Initialisation ' + '$part1' + '$part2' + ' du téléchargeur...'; Start-Sleep -s 2}"
    powershell.exe -ExecutionPolicy Bypass -Command $cmd
    
    Write-Host "[+] Simulation Terminée."
  • Commandes de Nettoyage:

    # Aucune modification permanente apportée au système. 
    # Il suffit d'effacer l'historique PowerShell de la session actuelle.
    Clear-History