Il gruppo di cyber spionaggio Gamaredon continua a prendere di mira l’Ucraina sfruttando una vulnerabilità di WinRAR per distribuire malware modulari dedicati al furto di dati e alla propagazione laterale. Al centro della campagna osservata a gennaio 2026 c’è la CVE 2025 8088, un difetto di path traversal che permette di estrarre file in percorsi non previsti e quindi avviare una catena di infezione senza che l’utente se ne accorga.
L’attacco parte da archivi RAR preparati ad arte, spesso veicolati tramite email di spear phishing con allegati malevoli. Una volta sfruttata la falla di WinRAR, viene eseguito un payload in formato HTML Application chiamato GammaPhish. Questo componente ha il compito di avviare il download di uno script intermedio in Visual Basic, identificato come GammaLoad, che funge da downloader e orchestratore. La logica è pensata per riconoscere il sistema compromesso, raccogliere informazioni utili sul dispositivo e aggiornare in modo dinamico la configurazione di rete nel registro di Windows.
Un elemento chiave della persistenza è l’uso di attività pianificate, che consentono al malware di riavviarsi e rimanere attivo nel tempo. Tra i payload distribuiti spicca GammaWorm, un worm in VBScript progettato per diffondersi tramite condivisioni di rete e dispositivi USB. La tecnica include la sostituzione di contenuti legittimi con collegamenti Windows LNK malevoli, così che l’apertura di file apparentemente innocui porti invece all’esecuzione di codice scaricato da server di comando e controllo.
Per ridurre la visibilità e aumentare la resilienza, GammaWorm usa canali Telegram pubblici come punto di risoluzione per l’infrastruttura C2, effettuando richieste GET tramite curl. L’impiego di piattaforme legittime aiuta a confondersi nel traffico normale e rende più difficile il blocco selettivo. Inoltre viene sfruttata la tecnica NTFS Alternate Data Streams per nascondere moduli e componenti sul file system.
Un altro modulo rilevante è GammaSteel, un information stealer modulare che raccoglie file in base a specifiche estensioni e li esfiltra verso un bucket AWS S3, con un server controllato dagli attaccanti come canale alternativo. La stessa catena può essere adattata per distribuire ulteriori famiglie di malware, inclusi wiper, in base agli obiettivi operativi della campagna.