Gamaredon 2025: il RAT che abusa il cloud per

THREAT BRIEF

Cos'è successo: Il gruppo APT russo Gamaredon (noto anche come IronTwist, Armageddon, Primitive Bear) ha incrementato significativamente le operazioni contro l'Ucraina nel corso del 2025, introducendo nuovi ceppi di malware e perfezionando l'abuso di servizi cloud commerciali per le comunicazioni C2 (command & control).

Chi è il responsabile: Gamaredon è un APT legato all'FSB russo, attivo dal 2013 con focus esclusivo sugli obiettivi ucraini. Il gruppo è responsabile di alcune delle campagne più persistenti e prolungate contro Kiev.

Vettore principale: Email di phishing mirato (spear-phishing) con documenti Office allegati contenenti macro malevole o exploit per vulnerabilità note. Il gruppo abuse sistematicamente servizi cloud legittimi (OneDrive, Google Drive, servizi di file sharing) per ospitare payload e comunicare con le vittime.

Impatto stimato: Compromissione di reti governative e militari ucraine, con capacità di persistenza a lungo termine. Il gruppo ha dimostrato la capacità di mantenere accessi per mesi prima del rilevamento.

---

ANALISI DELLA MINACCIA

Vettore d'attacco

Gamaredon utilizza un vettore di attacco consolidato ma efficace: spear-phishing con allegati Office. Le email, inviate da domini creati ad-hoc che imitano enti governativi ucraini o partner internazionali, contengono documenti Word o Excel con macro incorporate.

Una volta abilitata la macro, il documento esegue codice PowerShell che scarica il payload finale. Il gruppo ha storicamente utilizzato il malware Pterodo (anche noto come GammaLoad/GammaRay), un RAT con capacità di keylogging, screenshotting e persistenza.

Evoluzione 2025: nuovi malware e cloud abuse

Le analisi più recenti mostrano che Gamaredon ha introdotto nuovi ceppi di RAT nel suo arsenale. Questi nuovi malware presentano caratteristiche evolute:

• Modularità: capacità di scaricare moduli aggiuntivi su richiesta, rendendo l'analisi statica più difficile
• Cloud C2: utilizzo di servizi cloud commerciali (OneDrive, Google Drive, servizi API) per le comunicazioni con il server di comando, rendendo il traffico malevolo indistinguibile da traffico legittimo
• Evasion: tecniche di offuscamento che evitano il rilevamento da parte di soluzioni EDR tradizionali

TTPs principali (MITRE ATT&CK)

Il gruppo utilizza frequentemente la tecnica T1102 - Web Service (Cloud Service Abuse) per il C2, classificata nel framework MITRE come tecnica di command & control che sfritta servizi cloud legittimi.

Indicatori di compromissione (IOC)

Sebbene gli IOC specifici varino tra le campagne, i pattern da monitorare includono:

• PowerShell eseguito da processi Office (winword.exe, excel.exe)
• Connessioni verso domini cloud storage non usuali per l'organizzazione
• File con estensione .hta scaricati durante sessioni browsing
• Modifiche a chiavi di registro HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

---

IMPATTO E PORTATA

Geografie e settori colpiti

Gamaredon mantiene un focus quasi esclusivo sull'Ucraina, ma la portata delle operazioni si estende a:

• Settore governativo: ministeri, agenzie statali, enti locali
• Settore militare: forze armate, industria della difesa
• Infrastrutture critiche: energia, trasporti, telecomunicazioni
• Settore privato: aziende ucraine partner di enti governativi

Organizzazioni a rischio

Per le organizzazioni italiane, il rischio diretto rimane contenuto, ma la compromissione di supply chain che coinvolgono controparti ucraine può rappresentare un vettore indiretto.

---

ANALISI COMPARATIVA

Rispetto alle campagne storiche

Gamaredon non è un gruppo nuovo. Le sue operazioni contro l'Ucraina risalgono al 2014, con picchi durante l'annessione della Crimea e l'invasione del 2022. Tuttavia, il 2025 mostra un'evoluzione significativa:

Prima del 2022:

• Malware relativamente semplice (Pterodo)
• C2 basato su server proprietari (spesso VPS compromessi)
• Tecniche di evasion basilari

2022-2023:

• Aumento della sofisticazione dopo le sanzioni occidentali
• Sperimentazione con servizi cloud per C2
• Maggiore attenzione alla persistenza

2024-2025:

• Nuovi RAT modulari: capacità di aggiornare funzionalità senza re-infezione
• Cloud-first C2: quasi completa migrazione verso servizi cloud legittimi
• Migliorata evasion: utilizzo di tecniche fileless, abuso di strumenti legittimi (LOLBAS)

Confronto con altri APT russi

Rispetto a gruppi come APT28 (Fancy Bear) o APT29 (Cozy Bear), Gamaredon mantiene un profilo più basso ma risulta più persistente e focalizzato. Mentre APT28 e APT29 mirano a obiettivi occidentali e NATO, Gamaredon continua a concentrarsi esclusivamente sull'Ucraina, con operazioni a lungo termine che privilegiano la qualità dell'accesso sulla spettacolarità.

Questa focalizzazione lo rende meno rilevante per organizzazioni occidentali dirette, ma il trasferimento di tecniche ad altri gruppi è una preoccupazione reale. Le tecniche di cloud abuse osservate in Gamaredon sono già state adottate da altri attori.

---

RACCOMANDAZIONI

Immediata (0-48 ore)

1. Verifica le difese email: assicurati che il gateway email possa analizzare macro in documenti Office e bloccare download da domini non autorizzati
2. Controlla PowerShell: abilita la registrazione e il logging di PowerShell, analizza eventi di esecuzione da processi Office
3. Inventaria le connessioni cloud: mappa tutti i servizi cloud utilizzati dalla tua organizzazione, blocca accessi a servizi non autorizzati

Breve termine (1-2 settimane)

1. Aggiorna le regole YARA/SIGMA per rilevare le varianti note di Pterodo e nuovi RAT associati a Gamaredon
2. Implementa strict application control: limita l'esecuzione di script e macro tramite Windows AppLocker o equivalenti
3. Potenzia il monitoraggio EDR: configura alert per processi Office che generano child process PowerShell

Medio termine (1-3 mesi)

1. Adotta una soluzione di sandboxing avanzata per l'analisi degli allegati email, capace di rilevare comportamenti malevoli in ambienti isolati
2. Implementa Zero Trust per le email: verifica ogni email in ingresso con analisi comportamentale, non solo signature
3. Pianifica esercitazioni: simula campagne di phishing mirato per testare la risposta del team

Strumenti da considerare

Tra le soluzioni che possono aiutare nella detection e mitigation:

• Gateway email avanzati con sandboxing e AI comportamentale (come MailSniper, che offre analisi real-time di URL e sandboxing degli allegati)
• EDR/XDR con capacità di threat hunting
• Soluzioni SOAR per automatizzare la risposta agli IOC
• Threat Intelligence Platform per correlare IOC con feed di threat intel

---

OUTLOOK

Nei prossimi 3-6 mesi, è ragionevole aspettarsi che Gamaredon:

• Continui l'evoluzione malware: nuove varianti con tecniche di evasion aggiornate, probabilmente orientate a bypassare le difese EDR più recenti
• Aumenti l'abuso di servizi cloud: la migrazione verso cloud-first C2 è un trend consolidato, probabilmente espanso a servizi meno monitorati (API cloud, servizi di messaging)
• Mantenga il focus ucraino: nonostante le pressioni, il gruppo continuerà le operazioni contro Kiev con la stessa intensità

Per le organizzazioni occidentali, il messaggio è chiaro: le tecniche osservate in Gamaredon (cloud abuse, phishing mirato, RAT modulari) rappresentano un paradigma che altri APT stanno già adottando. Le difese devono evolvere di conseguenza.

---

Questa analisi si basa su fonti aperte e report di aziende di sicurezza. Gli IOC specifici possono variare tra le campagne. Si raccomanda di consultare i feed di threat intelligence per IOC aggiornati.