Rusya devlet bağlantılı bir casusluk grubu olan Gamaredon, Ukrayna ağlarında yayılmak için Windows'un az kullanılan bir dosya özelliğini kullanıyor. Sekoia'nın yeni analizine göre, solucan bileşenlerini NTFS Alternate Data Streams (ADS) adlı özellikte saklayarak hedef makinelerde neredeyse hiç iz bırakmıyor. Gamaredon, Ukrayna güvenlik servisi tarafından Rusya Federal Güvenlik Servisi'ne (FSB) bağlanan uzun süreli bir casusluk grubu olarak biliniyor ve özellikle Ukrayna'daki devlet, askeri ve kritik altyapı hedeflerine odaklanıyor.
Saldırı zinciri, Ocak 2026'da görülen ve halen aktif olan bir enfeksiyon süreciyle başlıyor. İlk aşamada, hedefe gönderilen bir xHTML dosyası açıldığında, içinde kötü amaçlı bir RAR arşivi bulunuyor. Bu arşiv, WinRAR'daki CVE-2025-8088 yol atlama açığını kullanarak Windows Başlangıç klasörüne gizli bir HTA dosyası yerleştiriyor. Bir sonraki oturum açmada çalışan bu dosya, uzak bir sunucudan ikinci aşama yükünü indiriyor. Kullanıcıyı oyalamak için sahte bir PDF dosyası kullanılıyor.
Sekoia'nın GammaWorm adını verdiği solucan, dosyasız VBScript kullanarak stealth yeteneklerini artırıyor. Modüllerini NTFS Alternate Data Streams'de saklayan solucan, standart dizin listelerinde görünmüyor. Kalıcılık için bakım görevi gibi görünen zamanlanmış görevler oluşturuyor ve dosya görünürlüğünü kontrol eden kayıt defteri ayarlarını değiştiriyor. USB bellekler ve ağ sürücülerine yayılarak gerçek klasörleri gizliyor ve yerlerine provokatif Ukraynaca dosya adları taşıyan kötü amaçlı kısayollar yerleştiriyor.
Sonuç ve Değerlendirme
Komuta ve kontrol (C2) için Telegram ve Cloudflare gibi meşru hizmetlerden canlı sunucu adresleri alan solucan, bu adresleri ölü posta kutuları olarak kullanıyor ve kayıt defterine kaydediyor. Sürekli olarak arka kapı görevi gören solucan, operatörlerin gönderdiği herhangi bir kodu çalıştırabiliyor. Sekoia, enfeksiyon durumunda en güvenli yanıtın tam sistem silme olduğunu belirtiyor. Ayrıca kuruluşların WinRAR'ı 7.13 veya üzeri sürüme güncellemeleri öneriliyor.