Rusya bağlantılı Gamaredon'un yeni siber casusluk yöntemleri ortaya çıktı

Siber güvenlik şirketi ESET, Rusya bağlantılı tehdit grubu Gamaredon hakkında hazırladığı kapsamlı 2025 raporunu yayımladı. Rapor, grubun geliştirdiği yeni saldırı araçlarının yanı sıra komuta ve kontrol (C&C) altyapısını gizlemek için kullandığı yöntemleri ve çalınan verileri üçüncü taraf bulut hizmetleri üzerinden sızdırma tekniklerini ayrıntılarıyla ortaya koydu.

Rapora göre Gamaredon, 2025 yılı boyunca faaliyetlerini yalnızca Ukrayna'daki hükümet kurumları ve askeri hedeflere yöneltti. Grubun temel amacı, savaş sürecinde Rusya'nın çıkarlarına hizmet edebilecek hassas bilgi ve kritik verileri ele geçirmek olarak değerlendiriliyor.

Bu Habere de Bak

ESET: Gentlemen önce güvenlik sistemlerini kapatıyor sonra saldırıyor

2025'in ilk yarısında saldırı kapasitesini artırmaya odaklanan grup, tamamı PowerShell tabanlı PteroDee, PteroCache, PteroDum, PteroOdd, PteroPaste ve PteroEffigy isimli altı yeni kötü amaçlı yazılım geliştirdi. Özellikle PteroPaste, indirici, USB silahlandırma ve kalıcılık sağlayan bileşenleri tek yapıda birleştirmesiyle dikkat çekti.

Bunun yanında daha önce kullanılan PteroSetup isimli eski VBScript tabanlı aracın da yeniden aktif hale getirildiği belirtildi.

Çalınan veriler artık bulut sistemlerine aktarılıyor

Raporda dikkat çeken değişikliklerden biri de veri sızdırma yöntemleri oldu. Gamaredon'un kullandığı dosya hırsızlarının artık Wasabi, Tebi ve Intercolo gibi Amazon S3 uyumlu bulut depolama servislerine veri aktarabildiği ifade edildi. Böylece saldırganların kendi altyapılarını kurma ihtiyacı azalırken, zararlı veri trafiği de normal bulut hizmetleri arasına gizlenebiliyor.

Grubun kullandığı PteroBox yazılımının ise çalınan verileri Dropbox'a yüklemeye devam ettiği belirtildi.

Rapora göre Gamaredon, saldırılarında yalnızca kötü amaçlı yazılımlara değil, meşru internet hizmetlerine de ağırlık verdi. Telegram kanalları, Dropbox, DEV Community, Mastodon ve benzeri platformlar, saldırganların komuta sunucularını gizlemek amacıyla "dead drop" yöntemiyle kullanıldı.

Bu yöntem sayesinde zararlı yazılımlar doğrudan saldırı sunucularına bağlanmak yerine önce güvenilir görünen platformlardan gerekli bağlantı bilgilerini alıyor, ardından gerçek komuta merkezine ulaşıyor.

Raporda, 2025'in ikinci yarısında grubun saldırı sıklığını ve ölçeğini önemli ölçüde artırdığına dikkat çekildi. Özellikle geniş kapsamlı spear phishing kampanyalarının yoğunlaştığı belirtilirken, USB bellekler, ağ sürücüleri ve yazılım yükleyicileri üzerinden kurum içi yayılım sağlayan araçların da aktif şekilde kullanılmaya devam ettiği kaydedildi.

Devlet bağlantısı iddiası güçleniyor

ESET Araştırmacısı Zoltán Rusnák, grubun çalışma düzenine ilişkin değerlendirmesinde, "Grup, Ocak 2025'te kısa bir operasyonel ara vermiş olsa da Gamaredon o yılın ilk yarısında çabalarının büyük bir kısmını yeni araçlar geliştirmeye ve kullanıma sunmaya ayırdı. ESET, Rusya ve Kırım'daki önemli bayramlar öncesinde birçok güncelleme yapıldığını gözlemledi. Özellikle, bu bayramlar sırasında veya hemen sonrasında hiçbir güncelleme gözlemlenmedi; bu da Gamaredon operatörlerinin muhtemelen devlete bağlı çalışanlar olduğunu daha da güçlendiriyor" açıklamasını yaptı.

Raporda ayrıca Gamaredon'un Ukrayna Güvenlik Servisi tarafından Rusya Federal Güvenlik Servisi'nin (FSB) 18. Bilgi Güvenliği Merkezi ile ilişkilendirildiği ve faaliyetlerini işgal altındaki Kırım'dan yürüttüğünün değerlendirildiği bilgisine de yer verildi.

Diğer Rus gruplarıyla iş birliği

2025 yılı içerisinde Gamaredon'un, Rusya bağlantılı Turla grubuyla ortak faaliyet yürüttüğü belirtilirken, daha önce InvisiMole ile de iş birliği yaptığı hatırlatıldı. Ayrıca Rusya yanlısı UAC-0099 grubunun ilk erişimi sağladıktan sonra hedefleri Sandworm grubuna devrettiğinin gözlemlendiği ifade edildi.

Rapor, Rusya bağlantılı siber casusluk grupları arasında koordinasyonun ve görev paylaşımının giderek arttığını, bunun da gelecekte daha kapsamlı ve etkili siber saldırıların yaşanabileceğine işaret ettiğini ortaya koyuyor.