2025 yılı boyunca Gamaredon son derece aktif kaldı ve yalnızca Ukrayna’ya odaklanmaya devam etti. Grubun nihai hedefi, Ukrayna’da devam eden savaşta Rusya’nın çıkarlarını desteklemek için istismar edilebilecek hassas bilgiler ve diğer kritik verilerin sızdırılması olmaya devam ediyor. Gamaredon’un faaliyetleri, istihbarat üstünlüğü elde etmek amacıyla Ukrayna’daki hükümet ve askeri kurumları hedef alarak Rusya’nın jeopolitik hedefleriyle yakından uyumlu görünüyor.
Gamaredon’u araştıran ESET araştırmacısı Zoltán Rusnák şu açıklamalarda bulundu:
“Grup, Ocak 2025’te kısa bir operasyonel ara vermiş olsa da Gamaredon o yılın ilk yarısında çabalarının büyük bir kısmını yeni araçlar geliştirmeye ve kullanıma sunmaya ayırdı. ESET, Rusya ve Kırım’daki önemli bayramlar öncesinde birçok güncelleme yapıldığını gözlemledi. Özellikle, bu bayramlar sırasında veya hemen sonrasında hiçbir güncelleme gözlemlenmedi; bu da Gamaredon operatörlerinin muhtemelen devlete bağlı çalışanlar olduğunu daha da güçlendiriyor.”
Grup, Ukrayna Güvenlik Servisi tarafından Rusya FSB’sinin 18. Bilgi Güvenliği Merkezi’ne atfediliyor ve işgal altındaki Kırım’dan faaliyet gösterdiği düşünülüyor.
2025’in başlarında Gamaredon, Rusya ile bağlantılı bir başka tehdit aktörü olan Turla ile iş birliği yaptı. Bu iş birliği, Rusya ile bağlantılı gruplar arasında koordineli siber casusluk kampanyaları yürütme potansiyelini vurgulamaktadır; bu da operasyonel etkilerini artırması muhtemeldir. Geçmişte Gamaredon, ESET tarafından keşfedilen ve InvisiMole olarak adlandırılan bir tehdit aktörüyle de iş birliği yapmıştı. Daha geniş bir bakış açısıyla 2025 yılı Rusya yanlısı aktörler arasında iş birliği ve görev paylaşımına dair bir başka örnek daha sundu. ESET, Rusya yanlısı UAC-0099 grubunun ilk erişim operasyonları yürüttüğünü ve ardından doğrulanmış hedefleri takip faaliyetleri için Sandworm’a aktardığını gözlemledi.
Yılın ikinci yarısında Gamaredon, daha büyük ve daha sık gerçekleştirilen spear phishing kampanyalarına yöneldi. En belirgin değişiklik, faaliyet temposundaydı. Grup, kampanyaların hem sıklığının arttığı hem de ölçeğinin büyüdüğü yılın ikinci yarısında çok daha aktifti. Spear phishing’in ötesinde, Gamaredon yanal hareket için özel silahlandırma araçlarını kullanmaya da devam etti. Bu araçlar, USB sürücülerini, eşlenmiş ağ sürücülerini ve hatta yazılım yükleyicilerini silahlandırarak, grubun ilk saldırıdan sonra kuruluşların içinde veya arasında yayılmasına yardımcı oluyor.
Gamaredon, 2025 yılında tamamı PowerShell ile yazılmış altı yeni araç tanıttı: PteroDee, PteroCache, PteroDum, PteroOdd, PteroPaste ve PteroEffigy. Yeni araçlar arasında öne çıkan, diğerlerine kıyasla oldukça daha karmaşık olan PteroPaste’dir. Bu araç, bir indirici, bir USB silahlandırıcı ve kalıcılık ile koordinasyon için kullanılan bir çalıştırıcı bileşenini bir araya getirir. Ayrıca ilk olarak 2021’de ortaya çıkan eski bir VBScript silahlandırıcı olan PteroSetup’ı yeniden hayata geçirdi.
Bunun yanı sıra Gamaredon operatörleri ağ altyapılarını korumak için yeni yollar aradılar; C&C sunucuları artık tüneller, işleyiciler, DDNS (dinamik DNS) ve PaaS (hizmet olarak platform) gibi çeşitli üçüncü taraf hizmetlerin arkasına gizlenmiştir.
Gamaredon’un 2025 yılındaki operasyonlarının en önemli yönlerinden biri, sözde “dead-drop” hizmetlerinden yoğun bir şekilde yararlanmasıydı. Bu terim geleneksel casusluktan gelmektedir – doğrudan buluşmak yerine, bir ajan bilgileri halka açık veya gizli bir yere bırakır ve başka bir ajan daha sonra bu bilgileri alır. Çevrimiçi ortamda da prensip benzerdir. Operatörler, gerçek kötü amaçlı sunucuyu doğrudan kötü amaçlı yazılıma gömmek yerine, bu bilgileri meşru bir web sitesine veya platforma yerleştirir ve kötü amaçlı yazılım da buradan alır. Bu, kötü amaçlı yazılımın önce meşru bir hizmet üzerindeki halka açık bir sayfaya bağlanabileceği, buradan gizli veya önceden yerleştirilmiş bir değeri okuyabileceği ve ancak bundan sonra asıl C&C sunucusuna bağlanabileceği anlamına gelir. 2025 yılında Gamaredon, Telegram kanalları, Dropbox, DEV Community ve Mastodon gibi sosyal ağlar dâhil olmak üzere çok sayıda hizmeti bu şekilde kötüye kullandı.
ESET’in gözlemlediği diğer önemli altyapı değişikliği ise veri sızdırma tarafındaydı. Gamaredon, amiral gemisi niteliğindeki iki dosya hırsızı olan PteroPSDoor ve PteroVDoor’u, çalınan dosyaları S3 uyumlu bulut depolama hizmetlerine (Amazon S3 API’sini destekleyen sağlayıcılar: Wasabi, Tebi ve Intercolo) yükleyecek şekilde güncelledi; böylece aynı araçlar ve kod, farklı depolama sağlayıcılarında çalışabilir hâle geldi. Aynı zamanda, PteroBox dosyaları Dropbox’a yüklemeye devam etti.
Çalınan dosyaları bulut depolama hizmetlerine yüklemek, Gamaredon’un büyük miktarda çalınan veriyi almak için kendi altyapısını sürdürme ihtiyacını azaltır. Ayrıca kötü amaçlı trafiğin meşru depolama sağlayıcılarına erişim trafiği arasına karışmasına da yardımcı olur. Esasen Gamaredon, talimatların nereden geldiğini gizlemekle kalmayıp, çalınan verilerin nereye gittiğini de gizlemek için üçüncü taraf hizmetlerini giderek daha fazla kullanmaktadır.
Kaynak : 