O Gamaredon, um grupo de espionagem apoiado pelo estado russo, está implantando um novo worm VBScript que se esconde dentro de recursos nativos do Windows enquanto usa serviços de nuvem populares como canais de comando e controle (C2) discretos em uma campanha contínua contra alvos ucranianos. A operação mostra um conjunto de ferramentas modular construído para sigilo, resiliência e acesso de longo prazo.
Descoberta e escopo
Nesta campanha, o Gamaredon reorganizou seu arsenal em um ecossistema Gamma, com componentes dedicados para phishing (GammaPhish), staging (GammaLoad), propagação tipo worm (GammaWorm) e roubo de dados (GammaSteel). A intrusão começa com iscas xHTML armadas que depositam um arquivo RAR malicioso explorando CVE-2025-8088 no WinRAR, permitindo execução de código de pastas de inicialização do Windows sem atrair atenção do usuário.
Uma vez acionado, a cadeia baseada em VBScript evita executáveis tradicionais. Em vez disso, ela camadas múltiplos estágios de script, cada um dos quais pode buscar e executar novas cargas úteis remotamente. Esta arquitetura transforma toda a sequência de infecção em uma pilha de backdoors. Cada estágio pode perfilar o host da vítima, atualizar sua configuração e implantar malware fresco sob demanda.
Vetor e exploração
O núcleo do novo conjunto de ferramentas é o GammaWorm, um script VBScript massivo que se esconde quase inteiramente dentro de Fluxos de Dados Alternativos (ADS) do NTFS, um recurso obscuro do sistema de arquivos Windows. Em vez de depositar arquivos visíveis, o GammaWorm armazena seus módulos em ADS anexados a caminhos de perfil de usuário existentes, deixando listagens de diretório e tamanhos de arquivo parecendo normais.
Para manter a persistência, o worm cria entradas de registro RunOnce e tarefas agendadas que executam código diretamente desses fluxos ocultos, enquanto também modifica configurações do Explorer para ocultar extensões e arquivos de sistema protegidos, reduzindo ainda mais a chance de descoberta.
Impacto e alcance
Após a instalação, o GammaWorm se espalha através de unidades USB e de rede copiando-se a cada alvo e ocultando pastas reais, substituindo-as por atalhos LNK maliciosos que abrem o diretório esperado e executam silenciosamente o worm via mshta.exe e wscript.exe. Ele também gera atalhos de isca usando nomes de arquivos provocativos em ucraniano para atrair usuários a clicar, ampliando a propagação em mídias compartilhadas.
Em paralelo, o GammaWorm executa um loop contínuo que atua como um backdoor discreto, contactando regularmente seu C2 para exfiltrar impressões digitais do sistema e recuperar novas cargas úteis VBScript para execução em memória, codificando dados do host em cabeçalhos HTTP aleatórios para imitar tráfego web normal.
Medidas de mitigação recomendadas
O Gamaredon reforça essas técnicas sem arquivo abusando plataformas legítimas de nuvem e mensagens para gerenciamento de C2. O GammaWorm resolve servidores ao vivo através de Dead Drop Resolvers hospedados em serviços como Telegraph/Teletype via graph.org, subdomínios Cloudflare Workers e armazenamento compatível com S3. O grupo também aproveita canais públicos do Telegram como dead drops, puxando HTML com curl.exe e analisando endereços IP embutidos que atuam como nós C2 ativos.
Defensores devem monitorar scripts VBScript em execução, especialmente aqueles que acessam ADS ou usam ferramentas de sistema como mshta. O bloqueio de conexões de saída para serviços de nuvem não autorizados e a inspeção de tráfego para padrões de cabeçalho HTTP anômalos são essenciais.
Implicações regulatórias e operacionais
A SEKOIA disse em um relatório compartilhado que a campanha permanece focada em redes governamentais, militares e de infraestrutura crítica ucranianas, reforçando os links entre o Gamaredon e o Serviço Federal de Segurança da Rússia. A combinação de cadeias VBScript sem arquivo, ocultação baseada em ADS, propagação via USB e C2 apoiado por nuvem aumentou significativamente o sigilo e a durabilidade das operações de espionagem do grupo.
Perguntas frequentes
Qual o alvo principal? Governos, militares e infraestrutura crítica da Ucrânia.
Como o malware persiste? Via tarefas agendadas e entradas RunOnce executando código de fluxos ADS.
Indicadores de comprometimento (IoCs)
Arquivos: GammaWorm (VBScript). Processos: mshta.exe, wscript.exe, curl.exe. Domínios: graph.org, telegram.org. Monitorar execução de scripts VBScript e conexões a serviços de nuvem não autorizados.