Rusya devletiyle bağlantılı bir solucan, Windows'un az kullanılan bir dosya özelliği olan NTFS Alternate Data Streams (ADS) içine bileşenlerini gizleyerek Ukrayna ağlarında neredeyse hiç iz bırakmadan yayılıyor. Sekoia'nın yeni analizine göre, bu solucan Gamaredon grubunun en son aracı. Ukrayna güvenlik servisi, Gamaredon'u resmi olarak Rusya Federal Güvenlik Servisi'ne (FSB) bağlamış durumda. Grup neredeyse tamamen Ukrayna'ya odaklanmış; hükümet, askeri ve kritik altyapıyı hedef alarak belge çalıyor ve uzun süreli erişim sağlıyor.
Sekoia, Ocak 2026'da görülen ve yazıldığı sırada hala aktif olan bir enfeksiyon zincirini yeniden yapılandırdı. Kampanya neredeyse tamamen dosyasız VBScript'e geçmiş durumda; bu, Gamaredon'un önceki araçlarına kıyasla önemli bir gizlilik artışı. Saldırı, bir WinRAR açığı (CVE-2025-8088) kullanılarak başlatılıyor. Google'ın tehdit analistleri bu açığı Sandworm, Turla ve diğer Rus operatörlerle ilişkilendirmişti. Açık, Windows Başlangıç klasörüne gizli bir HTA dosyası yerleştiriyor ve bu dosya bir sonraki oturum açışta çalışarak uzak sunucudan bir sonraki yükü indiriyor.
Solucanın gizlilik kabiliyeti GammaWorm ile daha da belirginleşiyor. Modüllerini NTFS Alternate Data Streams'de saklayan solucan, standart dizin listelerinde görünmüyor. Kalıcılık için rutin bakım kılığında görevler oluşturuyor ve dosya görünürlüğünü kontrol eden kayıt defteri ayarlarını değiştiriyor. USB bellekler ve ağ sürücülerine yayılan solucan, gerçek klasörleri gizleyip yerlerine provokatif Ukraynaca dosya adları taşıyan kötü amaçlı kısayollar bırakıyor. Komuta ve kontrol (C2) için Telegram ve Cloudflare gibi meşru hizmetlerden canlı sunucu adresleri alıyor.
Sekoia, enfeksiyona karşı en güvenli yanıtın tam bir sistem silme olduğunu uyarıyor: 'Kötü amaçlı yazılımın Dead Drop Resolver'lara (DDR) bağımlılığı, sürekli yeni yükler indirmesine izin veriyor, bu da temizleme girişimlerinin genellikle geri dönüş mekanizmalarının kötü amaçlı yazılımı geri yüklemesiyle sonuçlandığı anlamına geliyor.' Kuruluşların WinRAR'ı sürüm 7.13 veya sonrasına güncellemeleri öneriliyor.