Il gruppo di cybercriminali noto come Gamaredon, legato alla Russia, ha recentemente effettuato un attacco informatico contro una missione militare estera situata in Ucraina. Questo attacco mirava a introdurre una versione aggiornata del malware GammaSteel. Secondo il team Symantec Threat Hunter, l'attacco ha preso di mira una missione militare di un paese occidentale, con le prime tracce di attività malevola rilevate il 26 febbraio 2025.

L'infezione iniziale è avvenuta tramite un drive rimovibile infetto, come riportato dalla divisione di intelligence sulle minacce di Broadcom. Il processo di attacco ha avuto inizio con la creazione di un valore nel registro di Windows sotto la chiave UserAssist, seguito dall'esecuzione di "mshta.exe" tramite "explorer.exe", innescando una catena d'infezione multi-stage e avviando due file.

**Primo file**: "NTUSER.DAT.TMContainer00000000000000000001.regtrans-ms", stabilisce comunicazioni con un server di comando e controllo (C2) attraverso URL specifici associati a servizi legittimi come Teletype, Telegram e Telegraph.

**Secondo file**: "NTUSER.DAT.TMContainer00000000000000000002.regtrans-ms", infetta drive rimovibili e di rete creando file di collegamento per ogni cartella, eseguendo il comando malevolo "mshta.exe" e nascondendolo.

Il 1 marzo 2025, è stato eseguito uno script per contattare un server C2, esfiltrare metadati di sistema e ricevere un payload codificato in Base64, utilizzato per eseguire un comando PowerShell progettato per scaricare una nuova versione offuscata dello stesso script. Questo script si connette a un server C2 predefinito per recuperare altri due script PowerShell.

**Primo script PowerShell**: un'utility per la ricognizione, in grado di catturare schermate, eseguire il comando systeminfo, ottenere dettagli sui software di sicurezza in esecuzione, elencare file e cartelle sul Desktop e i processi attivi.

**Secondo script PowerShell**: rappresenta una versione migliorata di GammaSteel, un noto stealer di informazioni capace di esfiltrare file da una vittima in base a un elenco di estensioni consentite dalle cartelle Desktop e Documenti.

Symantec ha osservato che, nonostante Gamaredon non sembri possedere le stesse competenze tecniche di altri gruppi russi, cerca di compensare con un focus incessante su obiettivi in Ucraina. Il gruppo sta cercando di ridurre il rischio di rilevamento attraverso modifiche continue al codice utilizzato, aggiungendo offuscamenti e sfruttando servizi web legittimi.