Gamaredon perfecciona su arsenal: nuevas herramientas y uso masivo de servicios legítimos para ocultar su C&C
## Introducción
El grupo de amenazas persistentes avanzadas (APT) conocido como Gamaredon ha dado un nuevo paso en la sofisticación de sus operaciones. Según un extenso análisis realizado por ESET Research, la agrupación, vinculada a intereses estatales rusos y activa principalmente en campañas contra objetivos ucranianos y europeos, ha incorporado un nuevo conjunto de herramientas (toolset) y técnicas. Destaca especialmente la creciente utilización de servicios legítimos en la nube y plataformas online para encubrir su infraestructura de comando y control (C&C), así como para la exfiltración de datos, complicando notablemente su detección y mitigación.
## Contexto del Incidente o Vulnerabilidad
Gamaredon, también identificado como Primitive Bear, ha estado activo desde al menos 2013 y es conocido por su alta frecuencia de campañas, centrándose especialmente en el robo de información y la vigilancia de entidades gubernamentales, militares y diplomáticas. Durante 2023 y 2024, ESET ha observado una clara evolución en su modus operandi, con una migración de sus infraestructuras C&C tradicionales hacia el aprovechamiento de servicios legítimos como Telegram, Google Drive, OneDrive, Dropbox y servicios de correo web. Este cambio responde a una tendencia global en el cibercrimen: el uso de plataformas de confianza para eludir controles de seguridad y blacklists.
## Detalles Técnicos
### Herramientas y técnicas identificadas
El análisis de ESET revela una serie de nuevas herramientas y métodos:
– **Malware personalizado**: Gamaredon ha desplegado variantes de RATs (Remote Access Trojans) y descargadores modulares diseñados para persistir en sistemas comprometidos y exfiltrar información sensible.
– **Uso de servicios legítimos**: En lugar de servidores C&C propios, el grupo emplea plataformas como Telegram para recibir comandos y extraer datos. Los agentes maliciosos pueden, por ejemplo, subir información robada a cuentas de Google Drive controladas por los atacantes, evitando así filtrados de tráfico saliente.
– **Vectores de ataque**: Continúan predominando los correos electrónicos de spear-phishing con documentos adjuntos maliciosos (principalmente archivos de Office con macros o enlaces a scripts PowerShell).
– **TTP MITRE ATT&CK**: Entre las técnicas relevantes se encuentran:
– T1566.001 (Phishing: Spearphishing Attachment)
– T1027 (Obfuscated Files or Information)
– T1105 (Ingress Tool Transfer)
– T1095 (Non-Application Layer Protocol)
– T1567.002 (Exfiltration to Cloud Storage)
– **Indicadores de Compromiso (IoC)**: ESET ha publicado decenas de hashes de archivos, direcciones IP y nombres de dominio vinculados a campañas recientes, así como identificadores de cuentas en servicios en la nube controladas por los atacantes.
### CVEs y exploits conocidos
Aunque el grupo no destaca por el uso de zero-days, explota vulnerabilidades conocidas en Microsoft Office (como CVE-2017-0199 y CVE-2017-11882) y en servicios de correo electrónico, apoyándose en la ingeniería social para maximizar la tasa de infección.
## Impacto y Riesgos
La nueva estrategia de Gamaredon incrementa significativamente la dificultad de detección para los equipos SOC y los motores de EDR/XDR, ya que el tráfico generado por el malware se camufla entre conexiones legítimas a servicios ampliamente permitidos por políticas corporativas. Además, la posibilidad de que los datos exfiltrados residan en plataformas cloud públicas plantea retos adicionales en cuanto a trazabilidad y borrado seguro. Organizaciones gubernamentales y empresas del sector defensa y energía permanecen entre los principales objetivos, pero la versatilidad de los ataques amplía el espectro de víctimas potenciales.
Las campañas recientes han afectado a decenas de instituciones, con incidentes que han llevado a filtraciones de datos sensibles y la interrupción de operaciones críticas. Las pérdidas económicas asociadas, aunque difíciles de cuantificar, se estiman en millones de euros, sumando sanciones regulatorias bajo GDPR y NIS2 en caso de fuga de datos personales o compromisos de sistemas esenciales.
## Medidas de Mitigación y Recomendaciones
– **Bloqueo selectivo de servicios cloud**: Monitorizar y restringir el acceso a servicios en la nube que no sean imprescindibles para la actividad empresarial.
– **Implementación de reglas YARA y detecciones IoC**: Integrar los IoC publicados por ESET en sistemas SIEM y EDR.
– **Revisión y endurecimiento de políticas de macros y scripts**: Deshabilitar la ejecución automática de macros en Office y limitar la ejecución de PowerShell.
– **Segmentación de red y DLP**: Utilizar soluciones de prevención de pérdida de datos (DLP) y segmentación para minimizar la exposición de información sensible.
– **Formación en ciberseguridad**: Concienciar a empleados sobre correos sospechosos y técnicas de spear-phishing.
## Opinión de Expertos
Analistas de ESET y otros especialistas en ciberinteligencia destacan que la tendencia de abusar servicios cloud legítimos es especialmente preocupante, ya que erosiona la eficacia de las herramientas de defensa tradicionales. “La frontera entre tráfico malicioso y legítimo se difumina cada vez más. Los equipos SOC deben adoptar una postura proactiva, con análisis de comportamiento y machine learning aplicados a logs de acceso cloud y actividad de endpoints”, señala un analista de amenazas de ESET.
## Implicaciones para Empresas y Usuarios
La sofisticación de Gamaredon subraya la necesidad de revisar los controles de acceso a servicios cloud y reforzar la monitorización de actividades anómalas, especialmente en organizaciones con exposición internacional o interés estratégico. La adaptación de los atacantes a la infraestructura legítima exige, además, una colaboración estrecha con los proveedores de servicios cloud y el cumplimiento estricto de normativas como GDPR y NIS2, que obligan a notificar incidentes y proteger datos personales.
## Conclusiones
El caso Gamaredon ejemplifica la evolución de los actores APT hacia técnicas de sigilo y persistencia mediante el abuso de servicios legítimos. La defensa frente a estos ataques requiere una vigilancia constante, actualización de controles técnicos y una cultura organizacional centrada en la resiliencia. La cooperación internacional y la compartición de inteligencia serán claves para mitigar el impacto de este tipo de amenazas en el ecosistema digital europeo.
(Fuente: www.welivesecurity.com)
