El grupo Gamaredon, vinculado al FSB ruso, ha desplegado una cadena de infección modular que explota una vulnerabilidad en WinRAR (CVE-2025-8088) para desplegar malware casi sin archivos contra objetivos ucranianos. La campaña, revelada por los analistas de Sekoia, eleva el listón de la evasión y la persistencia: señuelos XHTML con píxeles de seguimiento, ocultación de payloads en flujos alternativos NTFS y resolución de servidores de mando a través de canales de Telegram y Cloudflare.
Le pongo en contexto: Gamaredon no es un recién llegado. El grupo, también conocido como Primitive Bear o Callisto, lleva activo desde 2014 y está inequívocamente ligado al Servicio Federal de Seguridad (FSB) según el servicio de inteligencia ucraniano. Lo que empezó con herramientas comerciales como el troyano Remote Manipulator System ha mutado, en una década de oficio, en una constelación modular que Sekoia ha bautizado bajo una taxonomía propia con el prefijo Gamma: GammaPhish para el acceso inicial, GammaLoad para la fase intermedia, GammaWorm para la propagación, GammaSteel para el robo de datos y GammaWipe para la destrucción. Y esta nueva campaña, detectada en enero de 2026, demuestra que el grupo ha aprendido a esconderse como nunca.
El gancho es un archivo XHTML con apariencia de documento legítimo, distribuido probablemente mediante spearphishing. Al abrirlo, no se ve nada sospechoso: solo un PDF señuelo en ucraniano y, en segundo plano, una solicitud de seguimiento de 1×1 píxel a un endpoint de Supabase que confirma al operador que la víctima ha picado. Una técnica que Gamaredon lleva usando, sin apenas cambios, desde 2018. Después, el código XHTML ejecuta HTML smuggling para entregar al navegador un archivo RAR aparentemente inofensivo que contiene dos archivos: el PDF visible y un archivo HTA oculto que, gracias a la explotación de CVE-2025-8088, se extrae directamente en la carpeta de inicio de Windows.
La vulnerabilidad, catalogada como CVE-2025-8088, es un fallo de path traversal en WinRAR corregido en la versión 7.13. Permite a un atacante escribir archivos fuera del directorio de extracción previsto, y no es exclusiva de Gamaredon: los analistas de Google Threat Intelligence documentaron en el mismo periodo que los grupos Sandworm y Turla, también rusos y con raíces en el GRU y el FSB respectivamente, la explotaron casi en paralelo. La velocidad con la que la grieta se propagó entre los operativos rusos sugiere una coordinación, o al menos un conocimiento compartido, que trasciende la anécdota técnica.
En el siguiente inicio de sesión, Windows ejecuta automáticamente el HTA mediante mshta.exe, que lanza una solicitud a una URL que incluye www.bbc.com en la ruta para camuflarse entre el tráfico legítimo. Esa llamada descarga GammaLoad, la capa intermedia de preparación. Sekoia no pudo recuperar directamente el código de GammaLoad porque los servidores de mando y control estaban inactivos durante las pruebas, pero los artefactos forenses hallados en equipos comprometidos dibujaron un cuadro claro: se trata de un conjunto de scripts VBScript en cascada, con hasta cuatro fases de ejecución sucesivas, diseñadas para identificar el sistema, actualizar la configuración de red mediante los resolutores de buzón muerto (Dead Drop Resolvers) y , sobre todo, buscar y ejecutar cualquier carga arbitraria que el servidor C2 ordene.
La coordinación entre operadores rusos para exprimir la misma vulnerabilidad en días no es casualidad: es un ecosistema que comparte hallazgos a la velocidad de un chat cifrado.
GammaWorm es la joya técnica de esta campaña. Tras desofuscarlo, el script VBScript supera las 20.000 líneas, la gran mayoría de ellas código basura destinado a agotar a cualquier analista. Pero su verdadera astucia está en cómo persiste. No escribe archivos tradicionales en disco; en su lugar, inyecta sus módulos principales en flujos alternativos NTFS (Alternate Data Streams, ADS), una característica nativa de Windows que permite adjuntar datos a cualquier carpeta o archivo sin que el usuario los vea, sin que aparezcan en las listas de directorios y sin que el tamaño de los ficheros los delate. Un simple comando dir no los mostrará. Lo he escrito antes: el ocultamiento es el primer mandamiento del espionaje digital.
Gamaredon ha tardado una década en aprender a esconderse donde ni el antivirus ni el administrador miran: en las tripas del sistema de archivos.
La persistencia se asegura mediante tres tareas programadas con nombres que imitan servicios legítimos de Windows: DiskDiagnosticDataCollector, SilentCleanup y SmartRetry. Cada una ejecuta un módulo ADS distinto en intervalos de siete a diez minutos. Además, escribe una clave en RunOnce que se recrea a sí misma en cada inicio de sesión: el propio GammaWorm reescribe la clave antes de que Windows la borre. Un truco tan sencillo como efectivo, y que en Moncloa.com ya habíamos visto en operaciones de Turla contra objetivos energéticos.
La propagación a través de USB es igual de limpia. GammaWorm oculta las carpetas reales de la unidad extraíble y coloca accesos directos (.lnk) maliciosos con el mismo icono y nombre en ucraniano. Los nombres son deliberadamente provocativos —desde «borrador de carta.doc» hasta «hoja de distribución.doc» o títulos con gancho social— para que la víctima haga clic. Al abrir el acceso directo, se muestra el contenido auténtico de la carpeta mediante el Explorador, mientras en segundo plano se ejecuta el archivo oculto ~.gif —el verdadero gusano—, que reside en la raíz de cada unidad comprometida.
Para hablar con casa, GammaWorm emplea una coreografía de resolución laberíntica. Utiliza curl para conectarse a un canal público de Telegram, analiza el HTML en busca de una dirección IP ofuscada y envía la huella digital de la máquina víctima camuflada dentro de la cabecera User-Agent. La cadena de resolución salta entre graph.org, Cloudflare Workers, Teletype, Telegra.ph y Telegram antes de llegar a un servidor controlado por el operador. Si el C2 devuelve un código HTTP 200, se ejecuta cualquier código VBScript que llegue en el cuerpo de la respuesta; si devuelve un 404, eso no es un error, sino una señal para actualizar la configuración. Los atacantes han convertido un código de «página no encontrada» en un canal de mando. La ironía no se le escapará a ningún administrador de sistemas.
El equipo de Sekoia es tajante: cualquier equipo confirmado como infectado por esta cadena debería ser formateado por completo, porque la capacidad de los operadores para reinyectar cargas a través de los dead-drop resolvers hace inútil cualquier intento de desinfección parcial. “Esta cadena revela un diseño masivo, resiliente y extremadamente ofuscado”, sentencian, y advierten de que la arquitectura está lista para ser reutilizada en futuras campañas porque cada capa, de forma independiente, puede invocar y ejecutar código remoto.
Dossier Moncloa: Ojos en la Sombra
Desde el punto de vista de la inteligencia de señales, nos encontramos ante un vector de amenaza clásico —el archivo comprimido malicioso enviado por correo— llevado a una nueva dimensión de ocultamiento. La explotación de una vulnerabilidad de día cero en el sentido práctico (la brecha se parchó, pero la ventana de exposición fue aprovechada por al menos tres actores estatales) combinada con el abuso de los flujos alternativos NTFS y la resolución de C2 a través de servicios legítimos convierte a esta campaña en un manual de oficio del siglo XXI. La agencia atacante, el FSB a través de su grupo Gamaredon, persigue el mismo objetivo que en 2014: recolectar inteligencia sobre las capacidades militares y gubernamentales de Ucrania. La defensora es Ucrania, que cuenta con el respaldo indirecto de aliados OTAN que monitorizan la actividad y comparten indicadores; el CNI y el CCN-CERT, por su parte, siguen de cerca estas técnicas porque cualquier infraestructura crítica española podría ser el siguiente objetivo de una cadena que se esconde en ADS y se comunica mediante Telegram.
A juzgar por los objetivos ucranianos —agencias gubernamentales, contratistas de defensa—, la clasificación del material extraído podría alcanzar el nivel de «Reservado» en la escala ucraniana, aunque no dispongo de confirmación oficial. La lectura confidencial es que Gamaredon ha refinado su oficio sin cambiar de meta: una década después, el grupo sigue siendo la punta de lanza del espionaje ruso a corta distancia, y la sofisticación de sus métodos obliga a revisar los protocolos de detección en organizaciones que manejen datos sensibles. El precedente de 2018, cuando ya usaban píxeles de seguimiento, demuestra una paciencia táctica que los analistas de la OTAN no pasan por alto. Si usted sigue la pista de APT28 (Fancy Bear) o Turla, verá que la compartición de exploits entre grupos rusos es un hecho recurrente, pero esta vez la cascada ha sido casi instantánea.
La buena noticia es que Sekoia ha publicado indicadores de compromiso (hashes y URLs) que permiten a los equipos de seguridad implementar contramedidas. La mala es que, como reconoce Google Threat Intelligence, la misma vulnerabilidad fue aprovechada por otros dos actores, lo que amplía la superficie de riesgo y sugiere que el fallo en WinRAR fue mucho más explotado de lo que reflejan las detecciones públicas. El CCN-CERT suele distribuir alertas tempranas sobre este tipo de fallos: ahora toca comprobar si los parches llegaron a tiempo a las terminales críticas del sector público español.
