Gamaredon en 2025 : Tunnels, Opérateurs, Boîtes mortes et Nouvelles Alliances
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Gamaredon, un groupe APT aligné sur la Russie, a encore adapté ses opérations en 2025 en abusant de services tiers légitimes pour dissimuler l’infrastructure de commandement et de contrôle et l’activité de vol de données. Le groupe s’appuie sur des tunnels, des workers et des plates-formes de dépôt telles que Telegram et Dropbox pour masquer le trafic malveillant. Il a également introduit de nouveaux outils basés sur PowerShell et mis à jour ses voleurs de fichiers pour prendre en charge l’exfiltration vers un stockage en nuage compatible S3.
Enquête
Les recherches d’ESET ont examiné les opérations de Gamaredon en 2025 et ont observé un virage vers des campagnes de harponnage plus larges combinées à des techniques de contrebande HTML. L’enquête a identifié de nouveaux outils de livraison, une utilisation plus intensive des workers et tunnels Cloudflare, et une dépendance continue à l’égard des résolveurs de dépôt. Les chercheurs ont également documenté une coopération avec d’autres acteurs alignés sur la Russie, dont Turla.
Atténuation
Les défenseurs devraient surveiller les connexions sortantes inhabituelles vers les plates-formes de stockage en nuage légitimes et les services sans serveur. L’application de contrôles stricts sur l’exécution de HTA et VBScript peut aider à bloquer les premières étapes de l’infection. La surveillance de l’abus des services de DNS dynamiques et des plates-formes de dépôt couramment utilisées est également recommandée.
Réponse
Si une activité de Gamaredon est détectée, les systèmes affectés doivent être isolés immédiatement pour prévenir de nouveaux mouvements via des dispositifs USB armés ou des partages de réseau. Les enquêteurs doivent procéder à un examen complet de tout accès non autorisé aux comptes de stockage en nuage. La télémétrie doit également être vérifiée pour les connexions aux services de tunnel et de workers associés au groupe.
Flux d’Attaque
Détections
Infiltration / Exfiltration / C2 Possible via des Services / Outils Tiers (via cmdline)
Voir
Infiltration / Exfiltration / C2 Possible via des Services / Outils Tiers (via dns_query)
Voir
Requête DNS de Processus Suspect Web Services Connus d’Abus Suspects (via network_connection)
Voir
Abus Possible de l’API Visual Studio Code comme Canal C2 (via dns_query)
Voir
Abus Possible de l’API Visual Studio Code comme Canal C2 (via proxy)
Voir
Communication de Domaine Suspect Trycloudflare (via dns)
Voir
Fichier / Scripts Suspects dans le Lieu de Démarrage Automatique (via file_event)
Voir
Tentative d’Exploitation de CVE-2025-8088 / CVE-2025-6218 (Vulnérabilité WinRAR) (via file_event)
Voir
Abus Possible de Telegram comme Canal de Commande et Contrôle (via dns_query)
Voir
Détection de PteroSetup et Exploitation de WinRAR CVE-2025-8088 [Création de Processus Windows]
Voir
Détection des Téléchargeurs PowerShell de Gamaredon [Windows Powershell]
Voir
Exécution de Simulation
Prérequis: La vérification Télémetrie & Baseline Pre-flight doit être réussie.
Rationnel: Cette section détaille l’exécution précise de la technique adverse (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à un diagnostic incorrect.
-
Narratif & Commandes d’Attaque : L’adversaire vise à établir un point d’appui en téléchargeant une charge utile de seconde étape. Pour éviter la détection par des outils de signature de base, ils utilisent généralement des modules de téléchargement spécifiques. Dans cette simulation, nous exécuterons d’abord la version « détectable » pour confirmer le fonctionnement de la règle, puis exécuterons une version « obfusquée » pour démontrer la faiblesse de la règle. Le but est de simuler l’exécution du
module qui récupère les instructions C2 à partir d'un fichier hébergé dans le nuage.module which fetches C2 instructions from a cloud-hosted file. -
Script de Test de Régression:
# --- PARTIE 1: DÉTECTION RÉUSSIE (L'Attaque "BRUYANTE") --- Write-Host "[+] Exécution de la commande détectable..." powershell.exe -ExecutionPolicy Bypass -Command "& {Write-Host 'Initialisation du téléchargeur PteroDee...'; Start-Sleep -s 2}" # --- PARTIE 2: TEST D'ÉVASION (L'Attaque "FURTIVE") --- # Cela montre comment un adversaire contourne la règle en utilisant la concaténation de chaînes Write-Host "[+] Exécution de la commande obfusquée (Évasion)..." $part1 = "Ptero" $part2 = "Dee" $cmd = "& {Write-Host 'Initialisation ' + '$part1' + '$part2' + ' du téléchargeur...'; Start-Sleep -s 2}" powershell.exe -ExecutionPolicy Bypass -Command $cmd Write-Host "[+] Simulation Terminée." -
Commandes de Nettoyage:
# Aucune modification permanente apportée au système. # Il suffit d'effacer l'historique PowerShell de la session actuelle. Clear-History