SOC Prime Bias: Critico

30 Jun 2026 07:05 UTC

Gamaredon nel 2025: Tunneling, Operatori, Dead Drops e Nuove Alleanze

Author Photo
SOC Prime Team linkedin icon Segui
Gamaredon nel 2025: Tunneling, Operatori, Dead Drops e Nuove Alleanze
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

Gamaredon, un gruppo APT allineato alla Russia, ha ulteriormente adattato le sue operazioni nel 2025 sfruttando servizi legittimi di terze parti per nascondere l’infrastruttura di comando e controllo e l’attività di furto di dati. Il gruppo si affida a tunnel, worker, e piattaforme dead-drop come Telegram e Dropbox per oscurare il traffico dannoso. Ha anche introdotto nuovi strumenti basati su PowerShell e aggiornato i suoi file stealer per supportare l’esfiltrazione su cloud storage compatibili con S3.

Indagine

La ricerca di ESET ha esaminato le operazioni di Gamaredon del 2025 e ha osservato un passaggio verso campagne di spearphishing più ampie combinate con tecniche di HTML smuggling. L’indagine ha identificato nuovi strumenti di distribuzione, un uso più intensivo dei worker Cloudflare e tunnel, e un continuo affidamento a resolver dead-drop. I ricercatori hanno anche documentato la cooperazione con altri attori allineati con la Russia, tra cui Turla.

Mitigazione

I difensori dovrebbero monitorare per connessioni in uscita insolite verso piattaforme di cloud storage legittime e servizi serverless. Applicare controlli rigidi sull’esecuzione di HTA e VBScript può aiutare a bloccare le fasi iniziali dell’infezione. Si raccomanda inoltre di monitorare l’abuso dei servizi DNS dinamici e delle piattaforme dead-drop comunemente usate.

Risposta

Se viene rilevata un’attività di Gamaredon, i sistemi colpiti dovrebbero essere isolati immediatamente per prevenire ulteriori spostamenti tramite dispositivi USB armati o condivisioni di rete. Gli investigatori dovrebbero condurre una revisione completa di qualsiasi accesso non autorizzato agli account di cloud storage. Si dovrebbe anche controllare la telemetria per le connessioni ai servizi tunnel e worker noti associati al gruppo.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per innescare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnoosi errate.

  • Narrazione & Comandi dell’Attacco: L’avversario mira a stabilire un punto d’appoggio scaricando un payload di secondo stadio. Per evitare rilevamenti da strumenti basati su firme base, solitamente usano moduli downloader specifici. In questa simulazione, eseguiremo prima la versione “rilevabile” per confermare il funzionamento della regola, e poi eseguiremo una versione “oscurata” per dimostrare la debolezza della regola. Lo scopo è simulare l’esecuzione del modulo che recupera istruzioni C2 da un file ospitato su cloud. Script di Test di Regressione:

  • Regression Test Script:

    # --- PARTE 1: RILEVAMENTO RIUSCITO (L'attacco "Rumoroso") ---
    Write-Host "[+] Esecuzione del comando rilevabile..."
    powershell.exe -ExecutionPolicy Bypass -Command "& {Write-Host 'Inizializzazione downloader PteroDee...'; Start-Sleep -s 2}"
    
    # --- PARTE 2: TEST DI EVASIONE (L'attacco "Silenzioso") ---
    # Questo dimostra come un avversario bypassi la regola usando concatenazione di stringhe
    Write-Host "[+] Esecuzione comando oscurato (Evasione)..."
    $part1 = "Ptero"
    $part2 = "Dee"
    $cmd = "& {Write-Host 'Inizializzazione ' + '$part1' + '$part2' + ' downloader...'; Start-Sleep -s 2}"
    powershell.exe -ExecutionPolicy Bypass -Command $cmd
    
    Write-Host "[+] Simulazione completata."
  • Comandi di Pulizia:

    # Nessuna modifica permanente apportata al sistema. 
    # Semplicemente cancella la cronologia di PowerShell per la sessione corrente.
    Clear-History