El grupo de hackers ruso conocido como Gamaredon ha sido atribuido a la explotación continua de una vulnerabilidad en WinRAR para distribuir múltiples familias de malware destinadas al robo de datos y propagación. Según Sekoia, la actividad implica la utilización de CVE-2025-8088, una falla de path traversal en WinRAR, para lanzar un payload de aplicación HTML denominado GammaPhish, que a su vez se usa para recuperar descargadores intermedios de VBScript con el nombre en clave GammaLoad. La cadena de infección fue observada por la empresa de ciberseguridad francesa en enero de 2026.
Sus objetivos principales son identificar el sistema anfitrión, actualizar la configuración de red en el registro usando dead drop resolvers (DDRs), obtener y ejecutar payloads VBScript arbitrarios desde los servidores C2.
Uno de los payloads es un gusano VBScript llamado GammaWorm que establece persistencia mediante tareas programadas y está diseñado para ocultar directorios legítimos en recursos compartidos de red y unidades USB, reemplazándolos con archivos maliciosos de acceso directo de Windows (LNK), lo que resulta en la ejecución de código arbitrario recuperado de un servidor de comando y control (C2).
Para resolver su C2, GammaWorm inicia una solicitud GET mediante curl a un canal público de Telegram codificado. Al usar plataformas legítimas como Telegram, la idea es mezclarse con el tráfico normal, evitar la detección y mantener operaciones de espionaje a largo plazo. GammaWorm también utiliza la técnica de NTFS Alternate Data Streams (ADS) para ocultar sus módulos principales.
Otra familia de malware distribuida a través de GammaLoad es un ladrón de información modular con el nombre en clave GammaSteel que captura archivos que coinciden con ciertas extensiones y los exfiltra a un bucket de Amazon Web Services (AWS) S3 o a un servidor controlado por el atacante como mecanismo de respaldo.
El vector de despliegue exacto para GammaWorm sigue siendo ambiguo; podría ser descargado simultáneamente por GammaLoad, o introducido de forma independiente a través de un usuario que ejecute una unidad USB armada. Además, evaluando el flujo de ejecución global, evaluamos con alta confianza que GammaPhish está diseñado para desplegar primero GammaLoad.
Gamaredon, un grupo de intrusiones patrocinado por el estado ruso vinculado oficialmente al Servicio Federal de Seguridad (FSB), tiene un historial de atacar a Ucrania, particularmente entidades gubernamentales, militares y de infraestructura crítica, utilizando correos electrónicos de spear-phishing con archivos adjuntos maliciosos, en este caso archivos RAR con trampas.
Esta cadena de infección revela un diseño modular resiliente, masivo y altamente ofuscado. Debido a su adaptabilidad y la capacidad del operador para actualizar configuraciones sobre la marcha, es muy probable que esta arquitectura sea reutilizada en el futuro.
El desarrollo coincide con el enfoque de UAC-0184 en objetivos militares ucranianos para entregar un ejecutable asociado con un programa legítimo llamado PassMark BurnInTest a través de señuelos LNK. Un segundo clúster de actividad de amenaza que ha atacado Ucrania es UAC-0247 (anteriormente rastreado como UAC-0244), que ha señalado a operadores de drones para desplegar descargadores de aplicaciones HTML (HTA) a través de archivos ZIP y una backdoor capaz de establecer un shell inverso hacia infraestructura controlada por el atacante.
Los cazadores de amenazas también han trazado la evolución de PixyNetLoader, un cargador de malware atribuido a APT28 en relación con campañas que explotan una vulnerabilidad de Microsoft Office (CVE-2026-21509), para extraer un implante COVENANT Grunt. Según ExaTrack, la familia de malware se ha detectado en la naturaleza desde diciembre de 2024, con iteraciones recientes descubiertas hasta el 15 de abril de 2026.
