### Gamaredon intensifica su ofensiva: 35 campañas de spear-phishing sofisticadas contra entidades ucranianas en 2025
#### Introducción
El panorama de amenazas en Europa del Este continúa mostrando una evolución significativa en las tácticas y el arsenal de los grupos de amenazas persistentes avanzadas (APT) vinculados a intereses rusos. Gamaredon, uno de los actores más activos en la región, ha incrementado notablemente su actividad durante 2025, ejecutando decenas de campañas dirigidas principalmente contra organismos ucranianos. Este artículo analiza en detalle las técnicas, herramientas e implicaciones de este repunte ofensivo, con especial atención a los aspectos técnicos de interés para los profesionales de ciberseguridad.
#### Contexto del Incidente o Vulnerabilidad
Gamaredon, también conocido como Primitive Bear o Armageddon, es una APT vinculada al Servicio Federal de Seguridad de Rusia (FSB), activa desde al menos 2013 y con un historial de operaciones centradas en objetivos gubernamentales, militares y de infraestructuras críticas en Ucrania. En 2025, la firma de ciberseguridad ESET ha detectado un aumento sin precedentes en la actividad de este grupo, con 35 campañas de spear-phishing documentadas solo en la segunda mitad del año. Las campañas han estado orientadas a explotar la volatilidad geopolítica y la necesidad de información sensible de los organismos gubernamentales ucranianos.
#### Detalles Técnicos
Las campañas recientes de Gamaredon han empleado técnicas de spear-phishing altamente personalizadas, enviando correos electrónicos con documentos adjuntos maliciosos diseñados para explotar vulnerabilidades conocidas en Microsoft Office y Windows. Los investigadores han identificado el uso recurrente de exploits para CVE-2023-23397 (vulnerabilidad de elevación de privilegios en Microsoft Outlook) y CVE-2024-21412 (ejecución remota de código en Windows SmartScreen).
El vector inicial suele ser un documento Office con macros o enlaces a archivos LNK que, al ser abiertos, ejecutan scripts PowerShell ofuscados. Estos scripts descargan y ejecutan cargas útiles personalizadas, que incluyen variantes de los backdoors Pteranodon y GammaLoad, ambos con capacidades de exfiltración y control remoto. Según ESET, la infraestructura de mando y control (C2) se apoya en dominios rotativos y servidores proxy alojados en múltiples jurisdicciones para dificultar su seguimiento y bloqueo.
En términos de TTP, Gamaredon sigue patrones alineados con MITRE ATT&CK, destacando técnicas como Spearphishing Attachment (T1566.001), Command and Scripting Interpreter: PowerShell (T1059.001) y Exfiltration Over C2 Channel (T1041). Los Indicadores de Compromiso (IoC) proporcionados por ESET incluyen hashes de archivos maliciosos, direcciones IP y dominios asociados a la infraestructura C2.
#### Impacto y Riesgos
El impacto de estas campañas es considerable, especialmente para entidades gubernamentales y organismos estratégicos ucranianos. Se estima que al menos el 60% de los ministerios y agencias estatales han sido objeto de intentos de intrusión, con algunos casos de acceso efectivo a buzones de correo y sistemas internos. El riesgo reside no solo en la filtración de información confidencial, sino en la posibilidad de interrupción operativa y de manipulación de datos críticos.
A nivel económico, los daños indirectos asociados a estas intrusiones pueden superar los 20 millones de euros, considerando la necesidad de investigaciones forenses, restauración de sistemas y refuerzo de infraestructuras. Además, existe un riesgo claro de incumplimiento normativo, especialmente en el marco del Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, que obliga a los estados miembros de la UE a notificar y responder a incidentes de seguridad que afecten a servicios esenciales.
#### Medidas de Mitigación y Recomendaciones
Ante el incremento y sofisticación de los ataques de Gamaredon, se recomienda a las organizaciones:
– Actualizar urgentemente todos los sistemas afectados por las vulnerabilidades CVE-2023-23397 y CVE-2024-21412.
– Deshabilitar las macros por defecto y restringir la ejecución de archivos LNK y scripts PowerShell mediante políticas de grupo.
– Implementar soluciones EDR/XDR con capacidades de detección de comportamiento anómalo y bloqueo proactivo de IoC asociados.
– Realizar campañas internas de concienciación sobre phishing dirigidas a empleados con acceso a información sensible.
– Establecer procedimientos de respuesta ante incidentes alineados con NIS2 y GDPR, garantizando la notificación temprana y la trazabilidad de las acciones.
#### Opinión de Expertos
Analistas de ESET y otros equipos de threat intelligence coinciden en advertir que Gamaredon está acelerando su ciclo de desarrollo de malware, adoptando frameworks modulares y técnicas de evasión avanzadas. Según Robert Lipovský, investigador senior de ESET, “la automatización de la generación de spear-phishing y la rápida rotación de infraestructura C2 están dificultando la defensa tradicional basada en firmas”.
Asimismo, expertos de CERT-UA subrayan que la colaboración internacional y el intercambio de IoC son claves para mitigar el impacto de estas campañas, especialmente considerando la presión legislativa de NIS2 sobre la notificación y respuesta a incidentes.
#### Implicaciones para Empresas y Usuarios
Si bien los ataques de Gamaredon han estado focalizados en Ucrania, la posibilidad de spillover o de ataques indirectos a empresas internacionales con intereses en la región es real. Las organizaciones que mantienen relaciones comerciales o tecnológicas con entidades ucranianas deben reforzar la monitorización de sus canales de comunicación y establecer controles adicionales en el acceso remoto.
Para los usuarios, la principal recomendación es extremar la precaución ante correos inesperados y verificar la autenticidad de los remitentes, especialmente cuando se trate de documentos adjuntos o enlaces a servicios en la nube.
#### Conclusiones
La actividad reciente de Gamaredon demuestra la capacidad de los grupos APT vinculados a Rusia para innovar y escalar sus operaciones en escenarios de conflicto híbrido. La sofisticación técnica, combinada con la explotación de vulnerabilidades recientes y el uso de spear-phishing dirigido, obliga a las empresas y organismos públicos a adoptar una estrategia de defensa en profundidad, con especial atención a la formación, la actualización de sistemas y la respuesta ágil ante incidentes.
(Fuente: feeds.feedburner.com)
