Un APT ruso que no deja de evolucionar

El grupo de amenaza persistente avanzada Gamaredon, vinculado a Rusia, continúa evolucionando y ampliando su arsenal de malware como parte de su ofensiva sostenida contra Ucrania durante 2025. La firma eslovaca ESET observó 35 campañas distintas de spear-phishing.

El problema

Gamaredon destaca por su alto volumen y persistencia: en lugar de operaciones puntuales muy sofisticadas, mantiene una presión constante con decenas de campañas de spear-phishing y un malware en rotación continua para evadir firmas. El abuso de servicios cloud para distribución de carga útil y C2 dificulta el bloqueo basado en indicadores estáticos.

Aunque su foco es Ucrania, sus TTPs —phishing con adjuntos, scripts y abuso de servicios web— son perfectamente trasladables a cualquier organización.

Recomendaciones inmediatas

  • Refuerza la inspección de adjuntos y la detección de macros/scripts en correo entrante.
  • Aplica detección por comportamiento sobre la ejecución de scripts (mshta, PowerShell, wscript).
  • Vigila conexiones a servicios cloud usados como C2 o repositorio de carga útil.
  • Mantén formación anti-phishing y simulacros periódicos.

¿Estás cubierto en DefensOps?

DefensOps detecta cadenas de spear-phishing y la ejecución de scripts maliciosos, correlacionando correo, endpoint y red.

  • T1566.001 — Spearphishing Attachment
  • T1059 — Command and Scripting Interpreter
  • T1102 — Web Service

La detección de ejecución de scripts y phishing está disponible desde el plan Essential.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes:
- The Hacker News — Gamaredon Expands Ukraine Attacks with New Malware and Cloud Service Abuse