· Noticias
Entrar

Gamaredon en 2025: uso de túneles, workers, dead drops y nuevas alianzas

El grupo de ciberespionaje Gamaredon, vinculado al FSB ruso, ha mantenido en 2025 una actividad incesante contra Ucrania, centrando sus ataques en instituciones gubernamentales y militares. Según análisis recientes, el colectivo ha perfeccionado sus técnicas para evadir detecciones, incorporando herramientas más sofisticadas y aprovechando servicios legítimos de terceros para ocultar sus operaciones. Este año, se han registrado 35 campañas de spearphishing —ataques personalizados por correo—, la mayoría concentradas en la segunda mitad del año y con un alcance mayor que en ocasiones anteriores.

Entre las novedades más preocupantes destaca el uso de túneles, workers y plataformas como servicio (PaaS) para enmascarar sus servidores de comando y control (C&C). Gamaredon también ha recurrido a lo que se conoce como dead drops: servicios públicos de mensajería, redes sociales o blogs donde depositan información cifrada para que sus malware la recuperen sin levantar sospechas. Esta estrategia dificulta rastrear el origen de los ataques y complica la labor de los equipos de ciberseguridad. Además, han actualizado sus herramientas de robo de archivos —como PteroVDoor y PteroPSDoor— para exfiltrar datos a través de servicios en la nube como Wasabi o Tebi, evitando así métodos más tradicionales que podrían ser bloqueados.

Colaboración entre grupos: un riesgo multiplicado

Uno de los hallazgos más relevantes de 2025 es la alianza entre Gamaredon y Turla, otro grupo de amenazas persistentes avanzadas (APT) también vinculado al FSB. Esta cooperación sugiere una coordinación sin precedentes entre actores estatales rusos, lo que podría traducirse en campañas de ciberespionaje más efectivas y difíciles de contrarrestar. No es la primera vez que Gamaredon trabaja con otros colectivos: en el pasado ya colaboró con InvisiMole, y este año se ha observado cómo el grupo UAC-0099 cedía el acceso a sistemas comprometidos a Sandworm para acciones posteriores.

El patrón de actividad de Gamaredon refuerza la idea de que sus operadores son empleados gubernamentales. Por ejemplo, las actualizaciones de sus herramientas suelen producirse antes de festivos en Rusia o Crimea, pero nunca durante ellos, lo que apunta a un horario laboral convencional. Además, su enfoque exclusivo en Ucrania —sin diversificar objetivos— confirma que su misión está alineada con los intereses geopolíticos del Kremlin en el conflicto.

Qué significa para tu negocio

Aunque Gamaredon opera en un contexto de guerra y sus objetivos son instituciones ucranianas, su evolución técnica ofrece lecciones valiosas para cualquier pyme. La principal: los ciberdelincuentes no dejan de innovar. Si un grupo como este puede esconder sus servidores detrás de servicios legítimos de cloud o redes sociales, imagina lo que podrían hacer contra una empresa con menos recursos de protección. Para tu negocio, esto implica:

  • Revisar los permisos de acceso: Gamaredon usa movimiento lateral —saltar de un equipo a otro dentro de la red— para robar datos. Limita los privilegios de los usuarios y segmenta tu red para contener posibles brechas.
  • Vigilar los servicios en la nube: Si usas plataformas como Wasabi o Tebi para almacenar información sensible, asegúrate de que solo personal autorizado pueda acceder. Configura alertas para transferencias inusuales de datos.
  • Formar a tu equipo: El 90% de los ciberataques empiezan con un correo de phishing. Capacita a tus empleados para identificar enlaces sospechosos o archivos adjuntos inesperados, especialmente si trabajan con información crítica (proyectos, presupuestos, datos de clientes).
  • Actualizar y monitorizar: Gamaredon reactivó herramientas antiguas (como PteroSetup en VBScript) porque muchas empresas descuidan las actualizaciones. Mantén tus sistemas parcheados y usa soluciones de detección —como la IA de LaiaDesk— que analicen comportamientos anómalos en tiempo real.

No hace falta ser un ministerio ucraniano para ser un objetivo. Los ciberdelincuentes buscan el eslabón más débil, y en un sector como el de la construcción, las reformas o los servicios técnicos —donde los presupuestos de seguridad suelen ser ajustados—, un ataque puede paralizar tu actividad durante días. La prevención no es un gasto, es una inversión en continuidad.

Fuente original: WeLiveSecurity ES

Conversación

Sé el primero en comentar.

Habla con LaiaDesk Más noticias

Newsletter

La IA de tu sector, en tu bandeja

Sin humo y sin spam. Te enviamos solo el análisis que de verdad mueve tu negocio. Cancela cuando quieras, en un clic.

Doble confirmación por correo (RGPD). Nunca compartimos tu dirección.