2025 yılı boyunca, Rusya ile bağlantılı Gamaredon tehdit grubu, yalnızca Ukrayna’daki hükümet ve askeri kurumları hedef aldı. Gamaredon operatörleri, teknik raporumuzda analiz ettiğimiz altı yeni kötü amaçlı PowerShell aracı geliştirdi ve kullanıma sundu.
Grubun dosya hırsızları, bulut depolama hizmetlerine (Wasabi, Tebi ve Intercolo) veri sızdırmayı destekleyecek şekilde güncellendi ve bu yöntem, veri sızdırmanın başlıca yöntemi hâline geldi. Güvenlik uzmanları ayrıca C&C sunucularını çözümlemek ve yükleri dağıtmak için çok sayıda meşru mesajlaşma, sosyal medya, blog ve yapıştırma hizmetinin “dead drop” olarak kötüye kullanıldığını da belgeledi.
2025 yılı boyunca Gamaredon son derece aktif kaldı ve yalnızca Ukrayna’ya odaklanmaya devam etti. Grubun nihai hedefi, Ukrayna’da devam eden savaşta Rusya’nın çıkarlarını desteklemek için istismar edilebilecek hassas bilgiler ve diğer kritik verilerin sızdırılması olmaya devam ediyor. Gamaredon’un faaliyetleri, istihbarat üstünlüğü elde etmek amacıyla Ukrayna’daki hükümet ve askeri kurumları hedef alarak Rusya’nın jeopolitik hedefleriyle yakından uyumlu görünüyor.
En güncel haberlere ve son dakika gelişmelerine Google üzerinden anında ulaşmak için bizi favorilerinize ekleyin.
2025’in başlarında Gamaredon, Rusya ile bağlantılı bir başka tehdit aktörü olan Turla ile iş birliği yaptı. Bu iş birliği, Rusya ile bağlantılı gruplar arasında koordineli siber casusluk kampanyaları yürütme potansiyelini vurgulamaktadır; bu da operasyonel etkilerini artırması muhtemeldir. Geçmişte Gamaredon, güvenlik uzmanları tarafından keşfedilen ve InvisiMole olarak adlandırılan bir tehdit aktörüyle de iş birliği yapmıştı. Daha geniş bir bakış açısıyla 2025 yılı Rusya yanlısı aktörler arasında iş birliği ve görev paylaşımına dair bir başka örnek daha sundu. Rusya yanlısı UAC-0099 grubunun ilk erişim operasyonları yürüttüğünü ve ardından doğrulanmış hedefleri takip faaliyetleri için Sandw
Yılın ikinci yarısında Gamaredon, daha büyük ve daha sık gerçekleştirilen spear phishing kampanyalarına yöneldi. En belirgin değişiklik, faaliyet temposundaydı. Grup, kampanyaların hem sıklığının arttığı hem de ölçeğinin büyüdüğü yılın ikinci yarısında çok daha aktifti. Spear phishing’in ötesinde, Gamaredon yanal hareket için özel silahlandırma araçlarını kullanmaya da devam etti. Bu araçlar, USB sürücülerini, eşlenmiş ağ sürücülerini ve hatta yazılım yükleyicilerini silahlandırarak, grubun ilk saldırıdan sonra kuruluşların içinde veya arasında yayılmasına yardımcı oluyor.
Gamaredon, 2025 yılında tamamı PowerShell ile yazılmış altı yeni araç tanıttı: PteroDee, PteroCache, PteroDum, PteroOdd, PteroPaste ve PteroEffigy. Yeni araçlar arasında öne çıkan, diğerlerine kıyasla oldukça daha karmaşık olan PteroPaste’dir. Bu araç, bir indirici, bir USB silahlandırıcı ve kalıcılık ile koordinasyon için kullanılan bir çalıştırıcı bileşenini bir araya getirir. Ayrıca ilk olarak 2021’de ortaya çıkan eski bir VBScript silahlandırıcı olan PteroSetup’ı yeniden hayata geçirdi.
Bunun yanı sıra Gamaredon operatörleri ağ altyapılarını korumak için yeni yollar aradılar; C&C sunucuları artık tüneller, işleyiciler, DDNS (dinamik DNS) ve PaaS (hizmet olarak platform) gibi çeşitli üçüncü taraf hizmetlerin arkasına gizlenmiştir.
(Kaynak: CNN)