Siber güvenlik alanında global bir önder olan ESET, Rusya ile ilişkili bir tehdit aktörü olan Gamaredon ve 2025 yılındaki faaliyetlerine ait en son raporunu yayımladı. Rapor, kümenin cephaneliğine eklenen yeni araçları, ağ altyapısını muhafaza prosedürlerindeki değerli değişiklikleri ve hem komuta ve denetim (C&C) bilgilerini hem de çalınan bilgileri gizlemek için yasal üçüncü taraf hizmetlerini giderek daha fazla kullanmasını tahlil ediyor.
2025 yılı boyunca, Rusya ile bağlantılı Gamaredon tehdit grubu, sadece Ukrayna’daki hükümet ve askeri kurumları amaç aldı. Gamaredon operatörleri, teknik raporumuzda tahlil ettiğimiz altı yeni berbat gayeli PowerShell aracı geliştirdi ve kullanıma sundu. Kümenin evrak hırsızları, bulut depolama hizmetlerine (Wasabi, Tebi ve Intercolo) data sızdırmayı destekleyecek biçimde güncellendi ve bu prosedür, data sızdırmanın esas formülü hâline geldi. ESET ayrıyeten C&C sunucularını çözümlemek ve yükleri dağıtmak için çok sayıda legal iletileşme, toplumsal medya, blog ve yapıştırma hizmetinin “dead drop” olarak berbata kullanıldığını da belgeledi.
2025 yılı boyunca Gamaredon son derece etkin kaldı ve sırf Ukrayna’ya odaklanmaya devam etti. Kümenin sonuncu gayesi, Ukrayna’da devam eden savaşta Rusya’nın çıkarlarını desteklemek için istismar edilebilecek hassas bilgiler ve öbür kritik bilgilerin sızdırılması olmaya devam ediyor. Gamaredon’un faaliyetleri, istihbarat üstünlüğü elde etmek gayesiyle Ukrayna’daki hükümet ve askeri kurumları gaye alarak Rusya’nın jeopolitik maksatlarıyla yakından uyumlu görünüyor.
Gamaredon’u araştıran ESET araştırmacısı Zoltán Rusnák “Grup, Ocak 2025’te kısa bir operasyonel ara vermiş olsa da Gamaredon o yılın birinci yarısında gayretlerinin büyük bir kısmını yeni araçlar geliştirmeye ve kullanıma sunmaya ayırdı. ESET, Rusya ve Kırım’daki değerli bayramlar öncesinde birçok güncelleme yapıldığını gözlemledi. Bilhassa, bu bayramlar sırasında yahut çabucak sonrasında hiçbir güncelleme gözlemlenmedi; bu da Gamaredon operatörlerinin muhtemelen devlete bağlı çalışanlar olduğunu daha da güçlendiriyor” açıklamasını yaptı . Küme, Ukrayna Güvenlik Servisi tarafından Rusya FSB’sinin 18. Bilgi Güvenliği Merkezi’ne atfediliyor ve işgal altındaki Kırım’dan faaliyet gösterdiği düşünülüyor.
2025’in başlarında Gamaredon, Rusya ile kontaklı bir öbür tehdit aktörü olan Turla ile iş birliği yaptı. Bu iş birliği, Rusya ile irtibatlı kümeler arasında koordineli siber casusluk kampanyaları yürütme potansiyelini vurgulamaktadır; bu da operasyonel tesirlerini artırması mümkündür. Geçmişte Gamaredon, ESET tarafından keşfedilen ve InvisiMole olarak isimlendirilen bir tehdit aktörüyle de iş birliği yapmıştı. Daha geniş bir bakış açısıyla 2025 yılı Rusya yanlısı aktörler arasında iş birliği ve misyon paylaşımına dair bir öbür örnek daha sundu. ESET, Rusya yanlısı UAC-0099 kümesinin birinci erişim operasyonları yürüttüğünü ve akabinde doğrulanmış gayeleri takip faaliyetleri için Sandworm’a aktardığını gözlemledi.
Yılın ikinci yarısında Gamaredon, daha büyük ve daha sık gerçekleştirilen spear phishing kampanyalarına yöneldi. En bariz değişiklik, faaliyet temposundaydı. Küme, kampanyaların hem sıklığının arttığı hem de ölçeğinin büyüdüğü yılın ikinci yarısında çok daha faaldi. Spear phishing’in ötesinde, Gamaredon yanal hareket için özel silahlandırma araçlarını kullanmaya da devam etti. Bu araçlar, USB şoförlerini, eşlenmiş ağ şoförlerini ve hatta yazılım yükleyicilerini silahlandırarak, kümenin birinci ataktan sonra kuruluşların içinde yahut arasında yayılmasına yardımcı oluyor.
Gamaredon, 2025 yılında tamamı PowerShell ile yazılmış altı yeni araç tanıttı: PteroDee, PteroCache, PteroDum, PteroOdd, PteroPaste ve PteroEffigy. Yeni araçlar arasında öne çıkan, başkalarına kıyasla hayli daha karmaşık olan PteroPaste’dir. Bu araç, bir indirici, bir USB silahlandırıcı ve kalıcılık ile uyum için kullanılan bir çalıştırıcı bileşenini bir araya getirir. Ayrıyeten birinci olarak 2021’de ortaya çıkan eski bir VBScript silahlandırıcı olan PteroSetup’ı yine hayata geçirdi.
Bunun yanı sıra Gamaredon operatörleri ağ altyapılarını korumak için yeni yollar aradılar; C&C sunucuları artık tüneller, işleyiciler, DDNS (dinamik DNS) ve PaaS (hizmet olarak platform) üzere çeşitli üçüncü taraf hizmetlerin arkasına gizlenmiştir.
Gamaredon’un 2025 yılındaki operasyonlarının en kıymetli yönlerinden biri, kelamda “dead-drop” hizmetlerinden yoğun bir halde yararlanmasıydı. Bu terim klâsik casusluktan gelmektedir – direkt buluşmak yerine, bir casus bilgileri halka açık yahut saklı bir yere bırakır ve diğer bir casus daha sonra bu bilgileri alır. Çevrimiçi ortamda da prensip benzeridir. Operatörler, gerçek berbat emelli sunucuyu direkt berbat emelli yazılıma gömmek yerine, bu bilgileri legal bir web sitesine yahut platforma yerleştirir ve berbat hedefli yazılım da buradan alır. Bu, berbat emelli yazılımın evvel legal bir hizmet üzerindeki halka açık bir sayfaya bağlanabileceği, buradan saklı yahut evvelden yerleştirilmiş bir kıymeti okuyabileceği ve lakin bundan sonra asıl C&C sunucusuna bağlanabileceği manasına gelir. 2025 yılında Gamaredon, Telegram kanalları, Dropbox, DEV Community ve Mastodon üzere toplumsal ağlar dâhil olmak üzere çok sayıda hizmeti bu halde berbata kullandı.
ESET’in gözlemlediği öteki değerli altyapı değişikliği ise data sızdırma tarafındaydı. Gamaredon, amiral gemisi niteliğindeki iki evrak hırsızı olan PteroPSDoor ve PteroVDoor’u, çalınan belgeleri S3 uyumlu bulut depolama hizmetlerine (Amazon S3 API’sini destekleyen sağlayıcılar: Wasabi, Tebi ve Intercolo) yükleyecek formda güncelledi; böylelikle birebir araçlar ve kod, farklı depolama sağlayıcılarında çalışabilir hâle geldi. Tıpkı vakitte, PteroBox belgeleri Dropbox’a yüklemeye devam etti.
Çalınan belgeleri bulut depolama hizmetlerine yüklemek, Gamaredon’un büyük ölçüde çalınan bilgiyi almak için kendi altyapısını sürdürme gereksinimini azaltır. Ayrıyeten berbat hedefli trafiğin yasal depolama sağlayıcılarına erişim trafiği arasına karışmasına da yardımcı olur. Esasen Gamaredon, talimatların nereden geldiğini gizlemekle kalmayıp, çalınan dataların nereye gittiğini de gizlemek için üçüncü taraf hizmetlerini giderek daha fazla kullanmaktadır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
