
Gamaredon借WinRAR投递GammaWorm和GammaSteel
Sekoia称,俄罗斯黑客组织Gamaredon持续利用WinRAR漏洞CVE-2025-8088,借GammaPhish、GammaLoad投递GammaWorm与GammaSteel等恶意载荷,目标包括数据窃取与传播。建议关注可疑RAR、LNK、HTA和USB介质活动,并检查WinRAR及相关主机、网络配置与C2通信。
俄罗斯黑客组织Gamaredon被归因于持续利用一个WinRAR漏洞,向多个恶意软件家族投递载荷,目标是数据窃取和传播。
据Sekoia称,这一活动武器化了CVE-2025-8088——WinRAR中的路径遍历缺陷——以启动一个名为GammaPhish的HTML Application载荷,随后再用它获取一个中间层Visual Basic Script(VBScript)下载器,代号GammaLoad。法国这家网络安全公司是在2026年1月观察到这条感染链的。
“Sekoia表示,他们的主要目标是对主机系统进行指纹识别,使用dead drop resolvers(DDRs)在注册表中更新网络配置,并从C2服务器获取并执行任意VBScript载荷。”
其中一个载荷是名为GammaWorm的VBScript蠕虫,它通过计划任务建立持久化,并被设计为在网络共享和USB驱动器中隐藏合法目录、用恶意Windows Shortcut(LNK)文件替换这些目录,从而执行从命令与控制(C2)服务器获取的任意代码。
为解析其C2,GammaWorm会通过curl向一个硬编码的公共Telegram频道发起GET请求。借助Telegram等合法平台,其目的是混入正常流量、避免检测,并维持长期间谍活动。GammaWorm还依赖NTFS Alternate Data Streams(ADS)技术来隐藏其核心模块。
另一个由GammaLoad投递的恶意软件家族是模块化信息窃取器GammaSteel,它会捕获匹配特定扩展名的文件,并将其外传到Amazon Web Services(AWS)S3 bucket,或在备用机制下外传到攻击者控制的服务器。
Sekoia表示,根据威胁行为者的目标,这些感染序列还可用于分发其他恶意软件家族,例如GammaWipe(又名GamaWiper)。
“GammaWorm的确切投放向量仍不明确;它可能由GammaLoad同步投放,也可能由用户执行一个武器化USB驱动器后独立引入,”报告指出。“此外,在评估全局执行流程后,我们高度确信GammaPhish被设计为先投放GammaLoad。”
Gamaredon是一个与俄罗斯联邦安全局(FSB)正式关联的、由国家支持的入侵行动集,长期以来一直针对乌克兰,尤其是政府、军方和关键基础设施实体,使用包含恶意附件的鱼叉式网络钓鱼邮件,并将其放在这些被植入陷阱的RAR压缩包中。
“Sekoia表示,这条感染链展示了一种具备韧性、规模庞大且高度混淆的模块化设计。”
“由于其适应性以及操作者能够随时更新配置,我们高度认为这种架构未来还会被复用。”
这一进展与UAC-0184针对乌克兰军事相关目标的活动同时发生;后者通过LNK诱饵投递一个与合法程序PassMark BurnInTest相关的可执行文件。另一组针对乌克兰的威胁活动集群是UAC-0247(此前追踪为UAC-0244),其锁定无人机操作员,通过ZIP压缩包投递HTML Application(HTA)下载器,并部署一个能够向攻击者控制的基础设施建立反向shell的后门。
威胁狩猎人员还梳理了PixyNetLoader的演变。该恶意软件加载器被归因于APT28,并与利用Microsoft Office漏洞(CVE-2026-21509)以提取COVENANT Grunt植入体的活动有关。根据ExaTrack,这一恶意软件家族自2024年12月起已在野外被发现,较新的变种最晚于2026年4月15日被发现。