🔍 Contexte
Publié le 1er juin 2026 par l’équipe Threat Detection & Research (TDR) de Sekoia.io, cet article constitue le premier volet d’une série de trois rapports sur la chaîne d’infection du groupe Gamaredon (alias ACTINUM, Armageddon, UAC-0010, BlueAlpha), un acteur étatique russe officiellement rattaché au FSB. L’investigation a débuté en décembre 2025 via une règle YARA opportuniste, complétée par plus de 70 artefacts fournis par un partenaire de confiance.
🎯 Attribution et ciblage
Gamaredon est un groupe de cyberespionnage spécialisé dans les intrusions persistantes longue durée ciblant l’Ukraine, notamment les entités gouvernementales, militaires et les infrastructures critiques. L’objectif principal est l’exfiltration continue de documents sensibles.
🧬 Taxonomie unifiée
Sekoia propose une nomenclature alignée sur celle du CERT-UA :
- GammaPhish : toutes les étapes depuis le phishing jusqu’au déploiement de GammaLoad (ex-GammaDrop, PteroDoc)
- GammaLoad : composants de chargement intermédiaires (ex-PowerPunch)
- GammaWorm : vers de propagation (ex-LitterDrifter, PteroLNK, PterodoUSB)
- GammaSteel : composants de vol de données (ex-QuietSieve, USBStealer, HarvesterX)
- GammaWipe : code de destruction système (ex-GamaWiper)
⚙️ Chaîne d’infection — GammaPhish
GammaPhish débute par un fichier xHTML weaponisé livré par spearphishing. À l’ouverture :
- Envoi d’une requête vers Supabase (pixel 1×1) pour confirmer l’engagement de la victime
- Déclenchement d’un événement OnError JavaScript conditionné à un User-Agent Windows
- HTML Smuggling avec une archive RAR encodée en Base64 exploitant CVE-2025-8088 (path traversal WinRAR < 7.13)
- Extraction d’un fichier HTA directement dans le répertoire Startup Windows via path traversal
- Au prochain login, exécution via mshta.exe d’un payload distant avec faux schéma d’authentification (www.bbc.com@…)
🐛 Chaîne d’infection — GammaWorm
GammaWorm (~.gif, MD5: 8e1624d110c090ff57d4b493a9107c66) est un ver VBScript massivement obfusqué (>20 000 lignes) avec les capacités suivantes :
Installation & clonage :
- Utilisation de NTFS Alternate Data Streams (ADS) pour stocker les modules (
%USERPROFILE%:GTR,:URL,:LNK,:SERVER,:save) - Assemblage dynamique en mémoire via
ExecuteGlobal - Killswitch via l’ADS
%USERPROFILE%:save
Persistance :
- Clé de registre
HKCU\...\RunOnce\ExplorerGuard - Modification des paramètres Explorer pour masquer fichiers cachés et extensions
- 3 tâches planifiées :
DiskDiagnosticDataCollector(7 min),SilentCleanup(7 min),SmartRetry(10 min)
Propagation :
- Ciblage des lecteurs USB et partages réseau via WMI
- Masquage des répertoires légitimes (attributs Hidden/System)
- Remplacement par des fichiers LNK malveillants imitant des dossiers
- Leurres en langue ukrainienne (documents militaires, photos choquantes)
- Copie de
~.gifdans chaque répertoire visité (profondeur max : 4)
Backdoor & C2 :
- Résolution C2 via Dead Drop Resolvers (DDR) sur Telegram, Telegra.ph, Teletype, Cloudflare Workers
- Exfiltration du fingerprint machine (hostname + numéro de série C:) dans les headers HTTP randomisés (User-Agent)
- Boucle infinie avec sleep de 28 secondes
- Exécution arbitraire de VBScript via HTTP 200 ; mise à jour de configuration via HTTP 404
- Stockage de la configuration C2 dans
HKCU\Console\(WindowsUpdates, WindowsResponby, WindowsTelegra, etc.)
📡 Infrastructure C2 observée (janvier 2026)
Infrastructure hybride mêlant services légitimes et domaines opérateur :
- DDR : graph.org, bold.zsjtn41091.workers.dev, teletype.in, telegra.ph, t.me
- Domaine opérateur : quitethepastry.ru
- IP C2 : 104.194.140.6
- Cloudflare Tunnel : efficiency-planes-emotions-fascinating.trycloudflare.com
📄 Type d’article
Il s’agit d’une analyse technique approfondie (partie 1/3) publiée par Sekoia TDR, dont le but est de documenter exhaustivement la chaîne d’infection Gamaredon 2026, proposer une taxonomie unifiée, et fournir des IOCs et opportunités de détection exploitables.
🧠 TTPs et IOCs détectés
Acteurs de menace
TTP
- T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
- T1027.006 — HTML Smuggling (Defense Evasion)
- T1203 — Exploitation for Client Execution (Execution)
- T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
- T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
- T1091 — Replication Through Removable Media (Lateral Movement)
- T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
- T1102.001 — Web Service: Dead Drop Resolver (Command and Control)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1564.004 — Hide Artifacts: NTFS File Attributes (Defense Evasion)
- T1112 — Modify Registry (Defense Evasion)
- T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1547.015 — Boot or Logon Autostart Execution: Login Items (Persistence)
- T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1082 — System Information Discovery (Discovery)
- T1057 — Process Discovery (Discovery)
- T1620 — Reflective Code Loading (Defense Evasion)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1564.001 — Hide Artifacts: Hidden Files and Directories (Defense Evasion)
IOC
- IPv4 :
104.194.140.6— AbuseIPDB · VT · ThreatFox - Domaines :
iiwdsxwamylbwwsoyrmj.supabase.co— VT · URLhaus · ThreatFox - Domaines :
bold.zsjtn41091.workers.dev— VT · URLhaus · ThreatFox - Domaines :
quitethepastry.ru— VT · URLhaus · ThreatFox - Domaines :
efficiency-planes-emotions-fascinating.trycloudflare.com— VT · URLhaus · ThreatFox - Domaines :
moment-cat-qld-place.trycloudflare.com— VT · URLhaus · ThreatFox - URLs :
https://iiwdsxwamylbwwsoyrmj.supabase.co/functions/v1/clever-responder/KokonGoogle_09.12.2025— URLhaus - URLs :
https://iiwdsxwamylbwwsoyrmj.supabase.co/functions/v1/clever-responder/GurGoogle_09.12.2025/audience/capture.pdf— URLhaus - URLs :
https://graph.org/kyjfkyr-12-06— URLhaus - URLs :
https://bold.zsjtn41091.workers.dev— URLhaus - URLs :
https://teletype.in/@myrain/Xh1Lta2Ccro— URLhaus - URLs :
https://quitethepastry.ru— URLhaus - URLs :
https://telegra.ph/f8bfl6sp-01-02— URLhaus - URLs :
https://t.me/s/teotori— URLhaus - URLs :
https://www.telegram.me/s/oberfarir— URLhaus - MD5 :
1794369214b7f62e70a0485e61335c61— VT · MalwareBazaar - MD5 :
8e1624d110c090ff57d4b493a9107c66— VT · MalwareBazaar - CVEs :
CVE-2025-8088— NVD · CIRCL - CVEs :
CVE-2018-20250— NVD · CIRCL - Fichiers :
1_13_5_1691_09.12.2025.xhtml - Fichiers :
2_14_6_1033_09.12.2025.rar - Fichiers :
2_14_6_1033_09.12.2025.HTA - Fichiers :
~.gif - Fichiers :
boot.ini - Fichiers :
cancelH0S.mpg - Chemins :
C:\Users\[USER]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2_14_6_1033_09.12.2025.HTA - Chemins :
C:\Users\[USER]:GTR - Chemins :
C:\Users\[USER]:save - Chemins :
C:\Users\[USER]:URL - Chemins :
C:\Users\[USER]:LNK - Chemins :
C:\Users\[USER]:SERVER - Chemins :
%USERPROFILE%\boot.ini
Malware / Outils
- GammaPhish (other)
- GammaWorm (other)
- GammaLoad (loader)
- GammaSteel (stealer)
- GammaWipe (other)
- Pteranodon (backdoor)
- LitterDrifter (other)
- QuietSieve (stealer)
- PowerPunch (loader)
- GamaWiper (other)
🟢 Indice de vérification factuelle : 75/100 (haute)
- ⬜ blog.sekoia.io — source non référencée (0pts)
- ✅ 51744 chars — texte complet (fulltext extrait) (15pts)
- ✅ 32 IOCs dont des hashes (15pts)
- ✅ 4/7 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 20 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : Gamaredon (5pts)
- ⬜ 0/2 CVE(s) confirmée(s) (0pts)
IOCs confirmés externellement :
104.194.140.6(ip) → VT (7/91 détections)iiwdsxwamylbwwsoyrmj.supabase.co(domain) → VT (11/91 détections)bold.zsjtn41091.workers.dev(domain) → VT (15/91 détections)quitethepastry.ru(domain) → VT (20/91 détections)
🔗 Source originale : https://blog.sekoia.io/fsbs-matryoshka-1-3-gamaredons-gifts-that-keeps-unpacking-gammaphish-and-gammaworm/