Le groupe de cyberespionnage Gamaredon, que le Service de Sécurité Ukrainien (SSU) attribue au 18e Centre de sécurité de l’information du Service fédéral de sécurité russe (FSB), ne cesse d’intensifier ses activités. Ayant ciblé les institutions gouvernementales ukrainiennes sans relâche depuis au moins 2013, Gamaredon a, en 2024, resserré son focus pour attaquer exclusivement les institutions ukrainiennes. Les dernières révélations d’ESET Research confirment l’ampleur de cette menace persistante, soulignant une nette évolution de leurs tactiques et de leurs outils. L’objectif principal de ce groupe reste le cyberespionnage, étroitement aligné sur les intérêts géopolitiques de la Russie.
Au cours de la dernière année, Gamaredon a drastiquement augmenté l’échelle et la fréquence de ses campagnes de spearphishing, adoptant des méthodes de diffusion toujours plus innovantes. Un fait marquant souligné par ESET est l’utilisation d’une charge utile spécifiquement conçue pour diffuser de la propagande russe, une dimension rarement observée auparavant. Cette escalade témoigne d’une stratégie agressive visant à perturber et à collecter des informations sensibles au sein des infrastructures gouvernementales ukrainiennes.
Une furtivité accrue et des outils sophistiqués pour contourner les défenses
Les chercheurs d’ESET ont identifié des changements significatifs dans l’arsenal de Gamaredon. Le groupe a introduit six nouveaux outils malveillants, principalement basés sur PowerShell et VBScript. Ces outils sont méticuleusement conçus pour garantir une furtivité maximale, une persistance insidieuse sur les systèmes compromis et des mouvements latéraux discrets et efficaces au sein des réseaux ciblés. Un aspect crucial de leur modus operandi est la capacité des opérateurs de Gamaredon à dissimuler la quasi-totalité de leur infrastructure de commande et contrôle (C&C) derrière des tunnels Cloudflare, rendant leur détection et leur traçabilité extrêmement complexes.
De surcroît, pour protéger leur infrastructure C&C et masquer leurs traces, Gamaredon recourt de plus en plus fréquemment à des services tiers légitimes tels que Telegram, Telegraph, Cloudflare et Dropbox. Cette tactique leur permet de se fondre dans le trafic réseau normal, compliquant davantage les efforts de détection des équipes de sécurité. Comme le souligne M. Zoltán Rusnák, chercheur ESET : « Gamaredon est un acteur majeur en raison de sa capacité d’innovation continue, de ses campagnes agressives de spearphishing et de ses efforts continus pour échapper aux détections. Tant que le conflit se poursuivra, nous anticipons que Gamaredon fera évoluer ses tactiques et continuera à intensifier ses opérations de cyberespionnage contre les institutions ukrainiennes. »
L’évolution des tactiques de spearphishing : de l’ingénierie sociale à la propagande
Les activités de spearphishing de Gamaredon ont connu une intensification notable au second semestre 2024, avec des campagnes menées sur des périodes allant d’un à cinq jours consécutifs. Les courriels malveillants contenaient typiquement des archives piégées (RAR, ZIP, 7z) ou des fichiers XHTML exploitant des techniques d’intégration HTML. Ces fichiers intégraient des fichiers HTA ou LNK malveillants, chargés d’exécuter des téléchargeurs VBScript intégrés, tels que PteroSand.
Un changement tactique a été observé en octobre 2024, où ESET a noté un cas rare : les courriels de spearphishing incluaient des hyperliens malveillants au lieu de pièces jointes, une déviation par rapport aux pratiques habituelles de Gamaredon. Le groupe a également innové en utilisant des fichiers LNK malveillants pour exécuter des commandes PowerShell directement depuis des domaines générés par Cloudflare, contournant ainsi certains mécanismes de détection traditionnels.
Les outils de Gamaredon ont fait l’objet de mises à jour majeures. Moins de nouveaux outils ont été introduits, mais des ressources considérables ont été consacrées à l’amélioration de l’obfuscation, des tactiques de furtivité et des méthodes sophistiquées pour les mouvements latéraux et l’exfiltration de données. Une découverte particulièrement intrigante a eu lieu en juillet 2024 : « Une charge utile VBScript ad hoc unique, fournie par les téléchargeurs de Gamaredon. Cet élément n’avait aucune fonctionnalité d’espionnage. Son seul but était d’ouvrir automatiquement une chaîne de propagande Telegram nommée Gardiens d’Odessa, qui diffuse des messages pro-russes ciblant la région d’Odessa », a précisé Zoltán Rusnák. Ce cas unique met en lumière la dualité des objectifs du groupe : cyberespionnage et influence informationnelle.
Pour une analyse complète et des éléments techniques détaillés sur les outils et techniques employés par le groupe Gamaredon, nous vous invitons à consulter le livre blanc d’ESET Research, intitulé « Gamaredon in 2024: Cranking out spearphishing campaigns against Ukraine with an evolved toolset », disponible sur WeLiveSecurity.com.
