Gamaredon, auch als Aqua Blizzard, Armageddon und BlueAlpha bekannt, gehört laut ESET weiterhin zu den aktivsten und anpassungsfähigsten Bedrohungsakteuren im Dienst Russlands. Die Gruppe ist seit mindestens 2013 aktiv. In dem in dieser Woche veröffentlichten Bericht beschreibt ESET, dass Gamaredon im vergangenen Jahr 35 separate Spear-Phishing-Kampagnen gegen die Ukraine führte.
Den Forschern zufolge diente die erste Hälfte des Jahres 2025 vor allem der Vorbereitung. Im ersten Quartal entwickelte die Gruppe fünf neue PowerShell-Programme, später im Sommer kam ein weiteres hinzu. Die meisten dieser Werkzeuge sind einfache Downloader, doch eines davon, PteroPaste, hebt ESET als besonders umfangreich hervor.
PteroPaste prüft wiederholt, ob an kompromittierten Systemen USB-Datenträger angeschlossen sind. Wird ein solcher gefunden, versucht das Werkzeug, einen schädlichen Downloader darauf zu platzieren. Dazu wählt es zufällig ein Word-Dokument auf dem infizierten System aus, hängt die Endung .lnk an und verwendet diesen Namen für den eingeschmuggelten Loader. So soll die Datei für einen flüchtigen Betrachter wie ein gewöhnliches Dokument wirken.
Gamaredon nutzt USB-Medien laut ESET schon lange, um Schadsoftware weiter zu verbreiten — sowohl geografisch als auch innerhalb bereits kompromittierter Organisationen. Gerade in solchen Umgebungen lassen sich damit auch sensiblere Systeme erreichen, die sonst vom offenen Internet abgeschottet wären. Jean-Ian Boutin, Direktor für Bedrohungsforschung bei ESET, empfiehlt als Gegenmaßnahmen unter anderem, USB-Dateien zu scannen, sie an speziellen Stationen zu bereinigen oder nicht geprüfte Datenträger ganz zu verbieten.
Boutin nennt zudem Schutzmaßnahmen gegen Gamaredons PowerShell-Schadsoftware. Je nach geschäftlichen Anforderungen und Benutzerrollen könnten Organisationen den Zugriff auf PowerShell für nichtadministrative Nutzer einschränken oder ganz entfernen. Auch unnötige Skriptfunktionen wie die Windows-Verwaltungsinstrumentation (WMI) sollten sich deaktivieren oder begrenzen lassen.
Parallel zum Ausbau eigener Erstzugriffs-Schadsoftware investierte Gamaredon laut ESET stark in die Tarnung seiner C2-Infrastruktur. Die Gruppe nutzt inzwischen Tunneldienste von Microsoft und Cloudflare sowie serverlose Worker von Cloudflare, um schädliche Aktivitäten hinter legitimen Domains zu verbergen. Hinzu kommen sogenannte Dead Drops: Die Schadsoftware greift auf legitime Websites zu, um dort versteckte C2-Adressen zu finden. Zuletzt kombinierte Gamaredon beide Methoden, indem die Domains für die Tunnel an diesen Dead-Drop-Stellen verborgen werden.
Auch beim Abfluss gestohlener Daten änderte die Gruppe ihre Werkzeuge. Zwei ihrer zentralen Stealer laden entwendete Dateien nun in legitime Cloud-Speicherdienste wie Amazon-S3-Buckets hoch. PteroPaste nutzt dafür laut ESET Dropbox.
Louis Eichenbaum, föderaler Technikchef bei ColorTokens, warnt gegenüber Dark Reading davor, Datenverkehr zu vertrauenswürdigen Plattformen automatisch als harmlos zu behandeln. Entscheidend sei, ob eine Kommunikation erwartet, autorisiert und mit dem normalen Verhalten von Anwendungen und Nutzern vereinbar sei. Dafür brauche es ein tiefes Verständnis von Anwendungsabläufen und Kommunikationsmustern in der eigenen Umgebung, um feingranulare, identitätsbezogene Mikrosegmentierungsregeln umzusetzen.
Mit modernisierten Werkzeugen und besser verborgener Infrastruktur führte Gamaredon in der zweiten Hälfte des Jahres 2025 laut ESET deutlich mehr und auch größere Cyberangriffe aus als in der ersten. Ein Teil dieser Operationen erfolgte demnach in Zusammenarbeit mit Turla, auch bekannt als Snake, Venomous Bear, Waterbug oder Ourobouros. Gamaredon stellte dabei mit seiner Loader-Bibliothek den Erstzugang für Turlas umfangreicheres Ausbeutungs-Framework Kazuar bereit.