El grupo de hackers ruso conocido como Gamaredón se ha atribuido a la explotación continua de una vulnerabilidad de WinRAR para entregar múltiples familias de malware destinadas al robo y la propagación de datos.
Según Sekoia, la actividad implica la utilización como arma de CVE-2025-8088, una falla de recorrido de ruta en WinRAR, para lanzar una carga útil de aplicación HTML denominada GammaPhish, que luego se utiliza para recuperar un descargador intermedio de Visual Basic Script (VBScript) con nombre en código GammaLoad. La cadena de infección fue observada por la empresa francesa de ciberseguridad en enero de 2026.
«Sus objetivos principales son tomar huellas digitales del sistema host, actualizar la configuración de la red en el registro utilizando resolutores de caída muerta (DDR), recuperar y ejecutar cargas útiles VBScript arbitrarias desde los servidores C2», dijo Sekoia.
Una de las cargas útiles es un gusano VBScript conocido como GammaWorm que establece persistencia a través de tareas programadas y está diseñado para ocultar directorios legítimos en recursos compartidos de red y unidades USB y reemplazarlos con archivos maliciosos de acceso directo de Windows (LNK), lo que resulta en la ejecución de código arbitrario recuperado de un servidor de comando y control (C2).
Para resolver su C2, GammaWorm inicia una solicitud GET a través de curl a un canal público de Telegram codificado. Al utilizar plataformas legítimas como Telegram, la idea es integrarse en el tráfico habitual, evitar la detección y mantener operaciones de espionaje a largo plazo. GammaWorm también se basa en la técnica NTFS Alternate Data Streams (ADS) para ocultar sus módulos principales.
Otra familia de malware entregada a través de GammaLoad es un ladrón de información modular con nombre en código GammaSteel que captura archivos que coinciden con ciertas extensiones y los exfiltra a un depósito S3 de Amazon Web Services (AWS) o a un servidor controlado por un atacante como mecanismo de respaldo.
Sekoia dijo que las secuencias de infección podrían usarse para distribuir otras familias de malware, como GammaWipe (también conocido como GamaWiper), dependiendo de los objetivos del actor de la amenaza.
«El vector de despliegue exacto de GammaWorm sigue siendo ambiguo; GammaLoad podría eliminarlo simultáneamente o introducirlo de forma independiente a través de un usuario que ejecute una unidad USB armada», señaló. «Además, al evaluar el flujo de ejecución global, evaluamos con alta confianza que GammaPhish está diseñado para implementar GammaLoad primero».
Gamaredon, un conjunto de intrusiones patrocinado por el estado ruso y vinculado oficialmente al Servicio Federal de Seguridad (FSB), tiene un historial de atacar a Ucrania, particularmente entidades gubernamentales, militares y de infraestructura crítica, utilizando correos electrónicos de phishing que contienen archivos adjuntos maliciosos, en estos archivos RAR con trampas explosivas.
«Esta cadena de infección revela un diseño modular resistente, masivo y altamente confuso», dijo Sekoia. «Debido a su adaptabilidad y la capacidad del operador para actualizar las configuraciones sobre la marcha, es muy probable que esta arquitectura se reutilice en el futuro».
El desarrollo coincide con el objetivo del UAC-0184 de objetivos relacionados con el ejército ucraniano para entregar un ejecutable asociado con un programa legítimo llamado PassMark BurnInTest a través de señuelos LNK. Un segundo grupo de actividades de amenazas que se ha dirigido a Ucrania es el UAC-0247 (anteriormente rastreado como UAC-0244), que ha seleccionado a los operadores de drones para implementar aplicaciones HTML (HTA) a través de archivos ZIP y una puerta trasera capaz de establecer un caparazón inverso para la infraestructura controlada por el atacante.
Los cazadores de amenazas también han seguido la evolución de PixyNetLoader, un cargador de malware atribuido a APT28 en relación con campañas que explotan una vulnerabilidad de Microsoft Office (CVE-2026-21509), para extraer un implante COVENANT Grunt. Según ExaTrack, la familia de malware se ha detectado en estado salvaje desde diciembre de 2024, y las iteraciones recientes se descubrieron el 15 de abril de 2026.