·       Durant l'année 2025, le groupe de cybercriminels Gamaredon, lié à la Russie, a ciblé exclusivement des institutions gouvernementales et militaires ukrainiennes.

·       Les opérateurs de Gamaredon ont développé et déployé six nouveaux outils PowerShell malveillants, analysés par ESET dans un livre blanc.

·       Leurs logiciels de vol de fichiers sont mis à jour pour l'exfiltration vers des services de stockage cloud (Wasabi, Tebi et Intercolo), devenus leur principale méthode d'exfiltration.

·       ESET a documenté l'utilisation abusive de plusieurs services légitimes de messagerie, de réseaux sociaux, de blogs et de partage de fichiers comme points de dépôt pour la résolution de serveurs C&C (commande et contrôle) et la distribution de charges utiles.

ESET Research publie son nouveau rapport sur Gamaredon, groupe de cybercriminels lié à la Russie, et ses activités en 2025. Ce rapport analyse les nouveaux outils de son arsenal, les changements significatifs dans la protection de son infrastructure réseau et son recours croissant à des services tiers légitimes pour dissimuler les informations C&C ainsi que les données volées. Au cours de 2025, Gamaredon était très actif et s'est concentré exclusivement sur l'Ukraine. L'objectif principal du groupe étant l'exfiltration d'informations sensibles et d'autres données critiques pouvant être exploitées pour servir les intérêts russes dans le conflit ukrainien. Les activités de Gamaredon semblent étroitement liées à la géopolitique de la Russie, ciblant les institutions gouvernementales et militaires ukrainiennes pour être avantagée en matière de renseignement.

« Bien que Gamaredon ait brièvement interrompu ses activités en janvier 2025, au premier semestre de  l’année il a consacré principalement ses efforts à développer et à déployer de nouveaux outils. ESET a constaté de nombreuses mises à jour faites à l'approche des principales fêtes en Russie et en Crimée. Aucune mise à jour n'a été faite pendant ni immédiatement après ces fêtes, cela laisse penser que les opérateurs de Gamaredon seraient des employés affiliés au gouvernement », selon Zoltán Rusnák, le chercheur d’ESET qui enquête sur Gamaredon. Le Service de sécurité d'Ukraine attribue le groupe au 18e Centre de Sécurité de l'information du FSB russe, soupçonné d'opérer depuis la Crimée occupée.

Début 2025, Gamaredon a collaboré avec Turla, un autre acteur malveillant lié à la Russie. Cela souligne le potentiel de campagnes de cyberespionnage coordonnées entre groupes pro-russes, susceptibles d'amplifier leur impact opérationnel. Gamaredon avait déjà collaboré avec InvisiMole, un acteur malveillant découvert par ESET. L'année 2025 a fourni un autre exemple de coopération et de partage des tâches entre acteurs pro-russes : ESET a aussi  vu le groupe pro-russe UAC-0099 mener des opérations d'accès initiales, puis transférer des cibles validées à Sandworm pour des activités complémentaires.

Au second semestre, Gamaredon a intensifié ses campagnes de spear phishing, elles sont plus fréquentes et plus vastes. Mais, le changement le plus notable c’est le rythme de ces campagnes. Le groupe s'est montré bien plus actif pendant cette période, avec des campagnes plus fréquentes et plus importantes. En plus du spear phishing, Gamaredon a continué à utiliser des outils d'attaque personnalisés pour des mouvements latéraux. Ces outils transforment des clés USB, des lecteurs réseau mappés et même des installateurs de logiciels, en armes, permettant au groupe d’évoluer au sein d'une même organisation ou entre différentes organisations après la première compromission.

En 2025, Gamaredon a lancé six nouveaux outils, tous écrits en PowerShell : PteroDee, PteroCache, PteroDum, PteroOdd, PteroPaste et PteroEffigy. Parmi eux, PteroPaste est plus complexe que les autres. Il combine un téléchargeur, un outil d'installation de maliciels sur clé USB et un exécuteur pour la persistance et l'orchestration. Par ailleurs, Gamaredon a remis à jour un ancien outil d'installation de maliciels en VBScript, PteroSetup, apparu pour la première fois en 2021.

Les opérateurs de Gamaredon ont aussi cherché de nouvelles façons de protéger leur infrastructure réseau, leurs serveurs C&C étant désormais cachés derrière divers services tiers tels que des tunnels, du DDNS (DNS dynamique) et du PaaS (plateforme en tant que service).

En 2025, un des aspects les plus importants des activités de Gamaredon était son recours massif aux services de dépôts anonymes. Ce terme vient de l'espionnage traditionnel : au lieu d'une rencontre directe, un agent dépose des informations dans un lieu public ou caché, qu'un autre récupère ensuite. En ligne, le principe est similaire. Au lieu d'intégrer directement le vrai serveur malveillant dans le maliciel, les opérateurs placent ces informations sur un site web ou une plateforme légitime, ou le maliciel ira les récupérer. Ainsi, le maliciel peut d'abord contacter une page publique sur un service légitime, y lire une valeur cachée ou simulée, et se connecter ensuite au véritable serveur C&C. En 2025, Gamaredon a exploité ainsi de nombreux services : chaînes Telegram, Dropbox, réseaux sociaux DEV Community, Mastodon, etc.

L’autre changement majeur observé par ESET était l'exfiltration de données. Gamaredon a mis à jour deux de ses logiciels phares de vol de fichiers, PteroPSDoor et PteroVDoor, pour télécharger les fichiers volés vers des services de stockage cloud compatibles S3. Des fournisseurs se chargeant de l'API Amazon S3 (Wasabi, Tebi et Intercolo), permettant aux mêmes outils et au même code de fonctionner chez différents fournisseurs de stockage. En parallèle, PteroBox continuait à télécharger les fichiers vers Dropbox.

Pour Gamaredon, le transfert des fichiers volés vers le cloud réduit le besoin de maintenir sa propre infrastructure de réception de données volées. Cela permet aussi au trafic malveillant de se fondre parmi les accès aux fournisseurs de stockage légitimes. Gamaredon utilise toujours plus de services tiers pour cacher l'origine des instructions ainsi que la destination des données volées.