ESET beschreibt Gamaredons aktuelle Kampagnen als Mischung aus bewährten Infektionsmethoden und einer deutlich erweiterten Werkzeugkette. Die Spear-Phishing-Angriffe verschicken demnach Archiv-Anhänge oder XHTML-Dateien, die per HTML-Smuggling bösartige HTA-Downloader auf die Zielsysteme bringen. Diese laden weitere Nutzlasten nach, darunter PteroSand.
In einem Teil der Angriffe nutzte die Gruppe außerdem die mittlerweile behobene WinRAR-Schwachstelle CVE-2025-8088. Laut ESET diente sie dazu, den schädlichen HTA-Downloader im Windows-Startordner des Opfers abzulegen. Beim nächsten Anmelden wird der Downloader dadurch automatisch ausgeführt, was der Angriffskette einen Mechanismus zur Persistenz hinzufügt.
Für die seitliche Ausbreitung greift Gamaredon weiterhin auf sogenannte Weaponizer zurück. ESET nennt hier PteroLNK und PteroPaste, die USB-Datenträger und Netzlaufwerke mit schädlichen LNK-Dateien infizieren. Öffnet ein Nutzer eine solche Verknüpfung, wird Downloader-Malware nachgeladen.
Ebenfalls wieder im Einsatz ist PteroSetup, ein älterer Weaponizer auf Basis von Visual Basic Script. Das Werkzeug wurde laut ESET erstmals im Januar 2021 entdeckt und galt vermutlich als eingestellt. PteroSetup durchsucht USB-Medien und eingebundene Netzlaufwerke nach legitimen Installationsdateien. Werden solche Dateien gefunden, ersetzt das Werkzeug sie durch selbstextrahierende 7z-Archive, die sowohl den ursprünglichen Installer als auch einen bösartigen VBScript-Downloader enthalten.
Nach Einschätzung von ESET hat Gamaredon 2025 seine Abhängigkeit von Diensten Dritter deutlich erhöht. Tunnel-Dienste und serverlose Worker-Plattformen würden zu einem immer wichtigeren Bestandteil der Infrastruktur, um die tatsächlichen Backend-Systeme zu verbergen. Zudem setze die Gruppe in großem Umfang legitime Dienste als Kanäle zur Datenexfiltration und als Dead-Drop-Resolver ein. Darüber beziehen die Schadprogramme Informationen zu den C2-Servern und werden auf Infrastruktur verwiesen, die bereits hinter Tunneln oder serverlosen Workern verborgen ist.
Hinzu kommen sechs neue bösartige PowerShell-Werkzeuge, mit denen Gamaredon sein maßgeschneidertes Malware-Arsenal erweitert hat. ESET-Forscher Zoltán Rusnák erklärte, die Gruppe habe zwar zu Beginn von 2025 eine kurze operative Pause eingelegt, aber einen großen Teil des ersten Halbjahres für die Entwicklung und Einführung neuer Werkzeuge genutzt.
Rusnák zufolge fielen viele Aktualisierungen in die Zeit vor wichtigen Feiertagen in Russland und auf der Krim. Während oder unmittelbar nach diesen Feiertagen seien dagegen keine Updates beobachtet worden. Das deute zusätzlich darauf hin, dass die Betreiber von Gamaredon wahrscheinlich staatlich angebundene Beschäftigte seien.
Insgesamt, so ESET, gleiche die Gruppe die relative Einfachheit ihrer Malware weiterhin durch Beharrlichkeit, häufige Updates und einen zunehmend kreativen Missbrauch legitimer Onlinedienste aus. Gamaredon habe den Einsatz von Dead Drops, Tunneln, Workern, dynamischem DNS und Cloud-Speichern weiter ausgebaut und damit seine Operationen flexibler und schwerer zu stören gemacht.