Gamaredon

Selon Gen Blogs (gendigital.com), Threat Research Team, le 19 novembre 2025, de nouveaux éléments indiquent un possible chevauchement d’infrastructure entre les APT russes Gamaredon et nord-coréens Lazarus, pointant vers une étape inédite de coopération transnationale dans le cyberespace. Le 24 juillet 2025, les systèmes de Gen, qui suivent les serveurs C2 de Gamaredon via des canaux Telegram/Telegraph connus, ont bloqué l’IP 144[.]172[.]112[.]106. Quatre jours plus tard (28 juillet), le même serveur hébergeait une version obfusquée d’InvisibleFerret (attribué à Lazarus), livrée via une structure d’URL identique à celle de la campagne ContagiousInterview (leurres de recrutement). Bien que l’IP puisse être un proxy/VPN, la proximité temporelle et le schéma d’hébergement partagé suggèrent une réutilisation d’infrastructure et, avec une confiance modérée, une collaboration opérationnelle. Il reste indéterminé si Lazarus a utilisé un serveur contrôlé par Gamaredon ou un même point client partagé. ...

Source et contexte: CERT-EU publie un état des lieux des menaces pour septembre 2025, fondé sur l’analyse de 285 rapports open source et illustré par des opérations d’APT, des vulnérabilités zero-day critiques et des campagnes supply chain. • Contexte et faits saillants: L’analyse met en avant des évolutions géopolitiques et réglementaires, dont l’évasion de sanctions de l’UE par l’entité liée à la Russie « Stark Industries », l’adoption de la première loi IA en Italie et la reclassification par la Tchéquie de la menace chinoise au niveau « Élevé ». Des activités d’espionnage notables incluent l’Iran (UNC1549) contre les secteurs défense/télécoms européens, la coopération Turla + Gamaredon contre l’Ukraine, et l’arrestation de mineurs néerlandais impliqués dans un espionnage lié à la Russie. ...

ESET Research a publié une analyse détaillée des opérations de cyberespionnage menées par le groupe Gamaredon en 2024, ciblant exclusivement les institutions gouvernementales ukrainiennes. Cette analyse met en lumière l’évolution des outils et des techniques utilisées par ce groupe aligné sur les intérêts géopolitiques russes. Gamaredon a intensifié ses campagnes de spearphishing en 2024, en augmentant l’échelle et la fréquence des attaques. Ils ont utilisé de nouvelles méthodes de livraison, telles que des hyperliens malveillants et des fichiers LNK exécutant des commandes PowerShell à partir de domaines hébergés par Cloudflare. Six nouveaux outils malveillants ont été introduits, axés sur la furtivité, la persistance et le mouvement latéral. ...

Le groupe de hackers russes connu sous le nom de Gamaredon, ou ‘Shuckworm’, a fait les gros titres avec ses cyberattaques sophistiquées ciblant les missions militaires occidentales. Ce groupe a évolué ses tactiques, techniques et procédures (TTPs) pour améliorer sa furtivité et son efficacité, passant de Visual Basic Script (VBS) à des outils basés sur PowerShell. PowerShell est un framework d’automatisation des tâches de Microsoft, souvent utilisé par les attaquants pour exécuter des commandes et des scripts sur les systèmes Windows. Ce changement, rapporté par Symantec, souligne leur démarche stratégique pour obscurcir, ou cacher, les charges utiles et exploiter les services légitimes pour l’évasion. ...