Gamaredon amplía sus ataques contra Ucrania con nuevo malware y abuso de servicios cloud
Resumen rápido
ESET observó 35 campañas de spear-phishing del APT ruso Gamaredon en 2025, con un arsenal de malware en constante evolución y abuso de servicios cloud.
Un APT ruso que no deja de evolucionar
El grupo de amenaza persistente avanzada Gamaredon, vinculado a Rusia, continúa evolucionando y ampliando su arsenal de malware como parte de su ofensiva sostenida contra Ucrania durante 2025. La firma eslovaca ESET observó 35 campañas distintas de spear-phishing.
El problema
Gamaredon destaca por su alto volumen y persistencia: en lugar de operaciones puntuales muy sofisticadas, mantiene una presión constante con decenas de campañas de spear-phishing y un malware en rotación continua para evadir firmas. El abuso de servicios cloud para distribución de carga útil y C2 dificulta el bloqueo basado en indicadores estáticos.
Aunque su foco es Ucrania, sus TTPs —phishing con adjuntos, scripts y abuso de servicios web— son perfectamente trasladables a cualquier organización.
Recomendaciones inmediatas
- Refuerza la inspección de adjuntos y la detección de macros/scripts en correo entrante.
- Aplica detección por comportamiento sobre la ejecución de scripts (mshta, PowerShell, wscript).
- Vigila conexiones a servicios cloud usados como C2 o repositorio de carga útil.
- Mantén formación anti-phishing y simulacros periódicos.
¿Estás cubierto en DefensOps?
DefensOps detecta cadenas de spear-phishing y la ejecución de scripts maliciosos, correlacionando correo, endpoint y red.
- T1566.001 — Spearphishing Attachment
- T1059 — Command and Scripting Interpreter
- T1102 — Web Service
La detección de ejecución de scripts y phishing está disponible desde el plan Essential.
👉 Consulta los planes de DefensOps y solicita una demo
Fuentes:
- The Hacker News — Gamaredon Expands Ukraine Attacks with New Malware and Cloud Service Abuse
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
Técnicas MITRE ATT&CK: T1566.001, T1059, T1102
- Ejecución de scripts maliciosos · T1059 · plan Essential
- Spear-phishing con adjunto · T1566.001 · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.