El actor de amenaza vinculado a Rusia conocido como Gamaredón (también conocido como Shuckworm) se ha atribuido a un ataque cibernético dirigido a una misión militar extranjera con sede en Ucrania con el objetivo de ofrecer una versión actualizada de un malware conocido llamado Gammteatel.
El grupo apuntó a la misión militar de un país occidental, según el equipo de cazadores de amenazas de Symantec, con los primeros signos de la actividad maliciosa detectada el 26 de febrero de 2025.
«El vector de infección inicial utilizado por los atacantes parece haber sido un impulso removible infectado», dijo la división de inteligencia de amenazas propiedad de Broadcom en un informe compartido con The Hacker News.
El ataque comenzó con la creación de un valor de registro de Windows bajo la tecla UserAssist, seguido por el lanzamiento de «mshta.exe» utilizando «explorer.exe» para iniciar una cadena de infección en varias etapas y iniciar dos archivos.
El primer archivo, llamado «ntuser.dat.tmcontainer0000000000000000000001.Rregtrans-MS», se utiliza para establecer comunicaciones con un servidor de comando y control (C2) que se obtiene al llegar a URL específicas asociadas con servicios legítimos como teletipo, telegrama y telégrafo, entre otros.
El segundo archivo en cuestión, «ntuser.dat.tmcontainer0000000000000000000002.regtrans-ms», está diseñado para infectar cualquier unidades y unidades de red extraíble mediante la creación de archivos de acceso directo para cada carpeta para ejecutar el comando malicioso «mshta.exe» y ocultarlo.
Posteriormente, el 1 de marzo de 2025, el script se ejecutó para contactar a un servidor C2, exfiltrate System Metadatos y recibir, a cambio, una carga útil codificada de Base64, que luego se utiliza para ejecutar un comando PowerShell diseñado para descargar una nueva versión ofuscada del mismo script.
El script, por su parte, se conecta a un servidor C2 codificado para obtener dos scripts más de PowerShell, el primero de los cuales es una utilidad de reconocimiento capaz de capturar capturas de pantalla, ejecutar el comando SystemInfo, obtener detalles del software de seguridad en ejecución en el host, archivos enumerados y carpetas en el escritorio, y listar la ejecución de procesos.
El segundo script de PowerShell es una versión mejorada de Gammteelel, un robador de información conocido que es capaz de exfiltrar archivos de una víctima basada en una lista de permiso de extensión desde el escritorio y las carpetas de documentos.
«Este ataque marca algo de un aumento en la sofisticación para Shuckworm, que parece ser menos hábil que otros actores rusos, aunque compensa esto con su enfoque implacable en los objetivos en Ucrania», dijo Symantec.
«Si bien el grupo no parece tener acceso al mismo conjunto de habilidades que otros grupos rusos, Shuckworm ahora parece estar tratando de compensar esto haciendo modificaciones menores al código que usa, agregando ofuscación y aprovechando los servicios web legítimos, todo para tratar de reducir el riesgo de detección».