Gamaredon Expands Ukraine Attacks with New Malware and Cloud Service Abuse

1 minute de lecture

Mis à jour : June 29, 2026

Offensive cybernétique de Gamaredon : arsenal en expansion et détournement de services cloud

Le groupe APT russe Gamaredon a intensifié ses opérations en 2025, ciblant exclusivement les institutions gouvernementales et militaires ukrainiennes. Le groupe mise sur une persistance accrue, des mises à jour fréquentes et l’exploitation massive de services légitimes pour dissimuler son infrastructure de commande et de contrôle (C2).

Points clés :

Campagnes de phishing : Utilisation intensive de l’hameçonnage ciblé par e-mail via des pièces jointes archivées ou des fichiers XHTML utilisant l’HTML smuggling.
Mouvement latéral : Infection des clés USB et des lecteurs réseau partagés par le remplacement de fichiers légitimes par des archives auto-extractibles (SFX) malveillantes.
Diversification des outils : Développement de six nouveaux outils PowerShell (PteroDee, PteroCache, PteroDum, PteroOdd, PteroEffigy, PteroPaste) pour l’exécution de charges utiles en mémoire et la communication avec les serveurs C2.
Abus de services tiers : Utilisation détournée de plateformes de stockage (Dropbox, GoFile, Wasabi), de services de tunnelisation et de plateformes de publication (Telegra.ph, Rentry.co, Paste.ee, etc.) pour masquer l’infrastructure réelle et exfiltrer des données.
Caractère étatique : Le rythme des développements techniques, corrélé aux calendriers officiels russes, suggère un lien direct avec des employés gouvernementaux.

Vulnérabilité exploitée :

CVE-2025-8088 : Faille dans WinRAR utilisée pour placer des téléchargeurs malveillants dans le dossier de démarrage (Startup) de Windows, assurant ainsi la persistance du malware après chaque redémarrage.

Recommandations :

Mise à jour des logiciels : Appliquer immédiatement les correctifs pour WinRAR afin de neutraliser l’exploitation de la vulnérabilité CVE-2025-8088.
Contrôle des périphériques : Restreindre ou désactiver l’exécution automatique des supports amovibles (USB) et surveiller les accès aux lecteurs réseau.
Filtrage réseau : Surveiller et, si possible, restreindre les connexions sortantes vers les services cloud et de “dead drop” fréquemment détournés par les attaquants (liste incluant notamment Telegra.ph, Rentry.co, GoFile, etc.).
Sécurité des postes : Désactiver l’exécution de scripts non signés (PowerShell/VBScript) et surveiller la création de nouveaux fichiers dans les dossiers de démarrage système.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Gamaredon Expands Ukraine Attacks with New Malware and Cloud Service Abuse

Offensive cybernétique de Gamaredon : arsenal en expansion et détournement de services cloud

Partager sur

Vous pourriez aimer

Why Post-Quantum Cryptography Starts With Credentials

Sécurisation post-quantique : Priorité aux identifiants

WhatsApp rolls out usernames to help users hide their phone number

Renforcement de la confidentialité sur WhatsApp : Introduction des noms d’utilisateur

WhatsApp is Finally Getting Usernames to Help Keep Phone Numbers Private

Renforcement de la confidentialité sur WhatsApp : introduction des noms d’utilisateur

⚡ Weekly Recap: Linux Kernel Flaws, AI Malware Tricks, Turla Backdoor, Infostealers and More

Actualités Cybersécurité : Vulnérabilités critiques et menaces émergentes