Le groupe, connu pour espionner des institutions ukrainiennes, a également ciblé des pays de l'OTAN.
À l’Est, la cyberguerre continue de faire rage. Les chercheurs d’ESET Research ont analysé les activités d’un groupe APT appelé Gamaredon. Affilié à la Russie, ce groupe spécialisé dans le cyberespionnage, particulièrement actif en Ukraine, serait lié au « Centre 18 » du FSB, basé en Crimée, et potentiellement proche d’InvisiMole, un autre acteur malveillant identifié par ESET.
Gamaredon cible en priorité les institutions gouvernementales ukrainiennes. ESET Research explique toutefois avoir détecté des tentatives d’intrusion visant plusieurs pays de l’OTAN entre avril 2022 et février 2023, parmi lesquels : la Bulgarie, la Lettonie, la Lituanie et la Pologne. Les chercheurs n’ont cependant pas pu déterminer si ces intrusions ont été réussies.
Gamaredon : mode d’emploi
Les chercheurs ont identifié certaines techniques et constaté que le groupe avait déployé ses outils contre ses cibles avant le déclenchement de l’invasion de l’Ukraine en février 2022. Pour atteindre ses victimes, le groupe orchestre des campagnes de spear-phishing. Il utilise ensuite des malwares sur mesure pour infecter des documents Word ou des clés USB appartenant aux victimes visées par ces campagnes, espérant ainsi atteindre d’autres cibles par effet de rebond.
« La tactique de Gamaredon repose sur le déploiement simultané de téléchargeurs et de backdoors pour assurer leur persistance. Bien que leurs outils manquent de sophistication, le groupe compense cette faiblesse par des mises à jour fréquentes et l’utilisation de techniques d’obfuscation en constante évolution », explique Zoltán Rusnák, chercheur chez ESET spécialisé dans l’analyse de Gamaredon, cité dans un communiqué.
Gamaredon ne chôme pas et renforce continuellement ses capacités de cyberespionnage. Il développe de nouveaux outils en PowerShell, axés sur l’exfiltration de données sensibles appartenant aux utilisateurs d’applications de messagerie instantanée telles que Signal ou Telegram, ou d’applications web. Gamaredon exploite également un infostealer baptisé PteroBleed, ciblant les données liées aux systèmes militaires et gouvernementaux ukrainiens.