· Noticias
Entrar

Gamaredon amplía sus ataques en Ucrania con nuevo malware y abuso de servicios en la nube

El grupo de ciberespionaje ruso conocido como Gamaredon ha intensificado sus ataques contra Ucrania durante 2025, incorporando nuevas herramientas maliciosas y abusando de servicios en la nube para eludir detecciones. Según análisis recientes, el colectivo ha lanzado al menos 35 campañas de phishing dirigido, principalmente contra instituciones gubernamentales y militares ucranianas, con el objetivo de robar información sensible que pueda favorecer los intereses rusos en el conflicto.

La estrategia de Gamaredon sigue basándose en el envío de correos electrónicos con archivos adjuntos engañosos —como documentos comprimidos o ficheros XHTML— que, al abrirse, descargan malware adicional en los sistemas. Una de las novedades detectadas es el uso de una vulnerabilidad ya parcheada en WinRAR (CVE-2025-8088) para colocar un archivo malicioso en la carpeta de inicio de Windows, garantizando así que el código se ejecute automáticamente al reiniciar el equipo. Esta técnica refuerza la persistencia del ataque, dificultando su eliminación.

Herramientas y tácticas en evolución

Gamaredon ha ampliado su arsenal con seis nuevas herramientas en PowerShell, diseñadas para ejecutar cargas maliciosas directamente en la memoria del equipo, evitando así dejar rastro en el disco duro. Entre ellas destacan PteroDee y PteroCache, que descargan y ejecutan scripts de PowerShell, o PteroEffigy, que obtiene las direcciones de los servidores de comando y control (C2) a través de servicios legítimos como GoFile. También se ha observado un aumento en el uso de plataformas de almacenamiento en la nube y servicios de tunneling para ocultar la infraestructura real detrás de los ataques.

Otra táctica recurrente es la infección de unidades USB y redes compartidas mediante archivos LNK maliciosos, que se propagan cuando un usuario abre el dispositivo. Además, el grupo ha reactivado herramientas antiguas, como PteroSetup, que reemplaza instaladores legítimos por versiones manipuladas que contienen código dañino. Este enfoque, combinado con el abuso de servicios como Telegram, Dropbox o Mastodon para exfiltrar datos, demuestra una adaptación constante a las medidas de seguridad, priorizando la flexibilidad sobre la sofisticación técnica.

Qué significa para tu negocio

Aunque estos ataques se centran en objetivos ucranianos, las técnicas empleadas por Gamaredon son un recordatorio de que ninguna pyme está a salvo de amenazas similares. El phishing dirigido, el abuso de servicios en la nube y la explotación de vulnerabilidades conocidas son métodos que también utilizan ciberdelincuentes comunes para atacar a empresas de construcción, reformas o servicios técnicos. Para protegerte, asegúrate de aplicar parches de seguridad en todas las aplicaciones (especialmente en herramientas como WinRAR o Microsoft Office), desconfía de adjuntos inesperados —incluso si parecen legítimos— y limita el uso de unidades USB externas. Además, capacita a tu equipo para reconocer correos sospechosos y activa la autenticación multifactor en todos los servicios críticos. La ciberseguridad no es solo un problema de grandes corporaciones: en un entorno donde los ataques son cada vez más creativos, la prevención básica puede marcar la diferencia entre un día normal y una crisis.

Fuente original: The Hacker News

Conversación

Sé el primero en comentar.

Habla con LaiaDesk Más noticias

Newsletter

La IA de tu sector, en tu bandeja

Sin humo y sin spam. Te enviamos solo el análisis que de verdad mueve tu negocio. Cancela cuando quieras, en un clic.

Doble confirmación por correo (RGPD). Nunca compartimos tu dirección.