Russia's 'Gamaredon' Upgrades Its Arsenal, Requiring New Defenses

Russia's FSB-linked APT group Gamaredon (aka Aqua Blizzard, Armageddon) significantly upgraded its offensive capabilities in 2025. ESET tracked 35 spear-phishing campaigns against Ukrainian government and military targets. The group developed six new PowerShell-based downloaders, including PteroPaste — a tool that spreads malware via USB drives by disguising loaders as Word documents. Gamaredon also improved its C2 concealment by leveraging Microsoft and Cloudflare tunneling services, Cloudflare Workers, and dead-drop techniques to hide infrastructure behind legitimate domains. Stolen data is now exfiltrated to cloud services like AWS S3 and Dropbox. In the second half of 2025, Gamaredon collaborated with fellow Russian APT Turla, providing initial access for Turla's Kazuar exploitation framework. Defenders are advised to restrict PowerShell access for non-admin users, scan USB drives, and implement identity-aware microsegmentation to detect anomalous traffic to trusted platforms.

Nguồn: https://www.darkreading.com/threat-intelligence/russia-apt-gamaredon-arsenal-defense. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

StepSecurity14 phút18 giờ trướcAI

Mass npm Supply Chain Attack: 20 Leo Platform Packages Compromised

Vào ngày 24/6/2026, tin tặc đã phát tán phiên bản độc hại của 20 package npm thuộc hệ sinh thái Leo Platform chỉ trong vòng chưa đầy 3 giây, sử dụng toolkit 'Phantom Gyp' tương tự chiến dịch Miasma trước đó. Phần mềm độc hại đánh cắp bí mật từ GitHub Actions, kho lưu trữ đa đám mây (AWS, GCP, Azure), registry package, HashiCorp Vault, Kubernetes và trình quản lý mật khẩu, sau đó exfiltrate qua token GitHub của nạn nhân để tránh bị phát hiện. Nó còn hoạt động như một worm trong chuỗi cung ứng, tự động phát tán phiên bản độc hại các package mà nạn nhân có quyền publish bằng cách vượt qua xác thực 2FA.

Lập trình viên nên đọc bài này để hiểu cách một cuộc tấn công supply chain mới sử dụng các kỹ thuật phức tạp—như obfuscation và evasion Bun—để tránh phát hiện và khai thác quyền truy cập vào các hệ thống quan trọng từ các gói npm phổ biến, từ đó cảnh báo về rủi ro khi sử dụng các thư viện công cộng mà không kiểm tra nguồn gốc và bảo mật.