ESET Research: Gamaredon grubunun 2025 faliyet analizi

ESET Research, Gamaredon’un yeni araç setini ve grubun C&C altyapısını gizlemek ve çalınan verileri sızdırmak için meşru çevrimiçi hizmetlere giderek daha fazla güvenmesini analiz ediyor

Siber casusluk, Rusya’nın Ukrayna’ya karşı yürüttüğü savaşın değişmez bir unsuru olmaya devam ediyor. ESET Research, Ukrayna’yı hedef alan ve Rusya ile bağlantılı en aktif gelişmiş kalıcı tehdit (APT) gruplarından biri olan Gamaredon’u uzun süredir takip ediyor. Ukrayna Güvenlik Servisi (SSU) tarafından Rusya FSB’nin 18. Bilgi Güvenliği Merkezi’ne atfedilen grup, 2025 yılı boyunca yüksek bir operasyon temposunu sürdürdü.

En son araştırmamızda, Gamaredon’un 2025 yılındaki faaliyetlerini analiz ediyoruz. Bu analiz, grubun cephaneliğine eklenen yeni araçları, ağ altyapısını koruma yöntemlerindeki önemli değişiklikleri ve hem komuta ve kontrol (C&C) bilgilerini hem de çalınan verileri gizlemek için meşru üçüncü taraf hizmetlerini giderek daha fazla kullanmasını içeriyor. Teknik ayrıntıların tamamına raporumuzdan ulaşabilirsiniz.

Bu blog yazısının ana noktaları:

• 2025 yılı boyunca Gamaredon, yalnızca Ukrayna’daki hükümet ve askeri kurumları hedef aldı.
• Yeni hedeflere yönelik 35 farklı spearphishing kampanyası gözlemledik. Kampanyaların çoğu yılın ikinci yarısında gerçekleştirildi ve önceki kampanyalara kıyasla çok daha büyük ölçekteydi.
• Yan hareket için tasarlanmış çok sayıda özel silahlandırıcı aracılığıyla başka hedefler de ele geçirildi.
• Gamaredon operatörleri, teknik dokümanımızda analiz ettiğimiz altı yeni kötü amaçlı PowerShell aracı geliştirdi ve dağıttı; ayrıca eski bir VBScript silahlandırma aracı olan PteroSetup’ı yeniden hayata geçirdi.
• Dosya hırsızları PteroVDoor ve PteroPSDoor, bulut depolama hizmetlerine (Wasabi, Tebi ve Intercolo) veri sızdırmayı destekleyecek şekilde güncellendi; bu yöntem, başlıca veri sızdırma yöntemi hâline geldi.
• Gamaredon operatörleri, ağ altyapılarını korumak için yeni yollar aradılar; C&C sunucuları artık tüneller, işleyiciler, DDNS (dinamik DNS) ve PaaS (hizmet olarak platform) gibi çeşitli üçüncü taraf hizmetlerin arkasına gizlenmiştir.
• Ayrıca C&C sunucularının adreslerini çözümlemek ve yükleri dağıtmak için çok sayıda meşru mesajlaşma, sosyal medya, blog ve yapıştırma hizmetini gizli aktarım noktası olarak kötüye kullandılar.

[ 2025’te Gamaredon raporunun tamamını okuyun ]

Bu doküman, işgal altındaki Kırım’dan faaliyet gösterdiği düşünülen bu grubun taktik, teknik ve prosedürlerini (TTP’ler) anlatan üçüncü derinlemesine çalışmamızdır. Eylül 2024’te, 2022 ve 2023 yıllarındaki Gamaredon faaliyetlerini ele alan bir doküman yayımlamıştık: Gamaredon tarzı siber casusluk; 2022 ve 2023’te Ukrayna’yı casusluk yapmak için kullanılan araç setinin analizi Temmuz 2025’te, Gamaredon’un 2024 yılındaki faaliyetlerini ele alan bir doküman yayımladık: 2024’te Gamaredon; geliştirilmiş bir araç setiyle Ukrayna’ya karşı spearphishing kampanyaları düzenliyor.

Devam eden veri sızdırma

2025 yılı boyunca Gamaredon son derece aktif kaldı ve yalnızca Ukrayna’ya odaklanmaya devam etti. Grubun nihai hedefi, Ukrayna’da devam eden savaşta Rusya’nın çıkarlarını desteklemek için kullanılabilecek hassas bilgiler ve diğer kritik verilerin sızdırılması olmaya devam ediyor. Gamaredon’un faaliyetleri, istihbarat üstünlüğü elde etmek amacıyla Ukrayna’daki hükümet ve askeri kurumları hedef alarak Rusya’nın jeopolitik hedefleriyle yakından uyumlu görünüyor.

Yılın ilk yarısında yeni araçlar ve iş birliği

Grup, Ocak 2025’te kısa bir operasyonel ara vermiş olsa da Gamaredon yılın ilk yarısında çabalarının büyük bir kısmını yeni araçlar geliştirmeye ve kullanıma sunmaya ayırdı. Bu araçları, bu blog yazısının bölümünde “ REF _Ref229907891 \h  \* MERGEFORMAT  ” başlığı altında dağıtım- odaklı ele alıyoruz. Grubun araç setinde yapılan tüm değişikliklerin kesin zaman damgalarını vermiyor olsak da birçok güncellemenin Rusya ve Kırım’daki önemli bayramlar öncesinde yapıldığını gözlemledik. Özellikle, bu bayramlar sırasında veya hemen sonrasında hiçbir güncelleme gözlemlenmedi; bu da Gamaredon operatörlerinin muhtemelen devlete bağlı çalışanlar olduğunu gösteriyor.

Özellikle, 2025 yılının başlarında Gamaredon’un, FSB ile de bağlantılı olan ve Rusya’ya yakın bir başka tehdit aktörü olan Turla ile iş birliği yaptığını ortaya çıkardık; bulgularımızı “Gamaredon X Turla iş birliği” başlıklı blog yazımızda belgeledik. Bu iş birliği, Rusya’ya yakın gruplar arasında koordineli siber casusluk kampanyaları yürütme potansiyelini vurgulamakta ve bu durumun operasyonel etkilerini muhtemelen artıracağını göstermektedir. Geçmişte Gamaredon, bizim keşfettiğimiz ve InvisiMole olarak adlandırdığımız bir tehdit aktörüyle de iş birliği yapmıştı.

Daha geniş bir perspektiften bakıldığında, 2025 yılı Rusya ile bağlantılı aktörler arasında iş birliği ve görev paylaşımına dair bir başka örnek daha sundu: Rusya ile bağlantılı UAC-0099 grubunun ilk erişim operasyonlarını yürüttüğünü ve ardından doğrulanmış hedefleri takip faaliyetleri için Sandworm’a aktardığını gözlemledik. Bulgularımızı “ESET APT Faaliyet Raporu 2025 2. ve 3. Çeyrek” başlıklı raporumuzda belgeledik.

Yılın ikinci yarısında daha büyük ve daha sık spearphishing kampanyaları

Yılın ikinci yarısında grup, daha büyük ve daha sık spearphishing kampanyalarına yöneldi; 2025 yılı boyunca bu türden 35 kampanya tespit ettik. Önceki yıllarda olduğu gibi, kampanyaların çoğunda, kötü amaçlı HTA indiricilerini dağıtmak için HTML kaçakçılığı kullanan arşiv ekleri veya XHTML dosyaları kullanıldı; bu indiriciler de VBScript indiricisi PteroSand’ı ve ek yükleri indirdi. Ayrıca ekler yerine muhtemelen kötü amaçlı hiperlinks kullanan kampanyalar da gözlemledik.

Şekil 1 , Gamaredon spearphishing kampanyalarında her ay dağıtılan benzersiz HTA indiricilerinin örneklerini gösteren bir grafiği sunmaktadır. Bir HTA indiricisi birden fazla kişiyi hedef alabileceğinden ve kişiler aynı ay içinde birkaç kampanyada hedef alınabileceğinden, bu rakamların spearphishing girişimleri için minimum değerleri temsil ettiğine dikkat edin.

Şekil 1 . Aylık olarak görülen benzersiz Gamaredon spearphishing örnekleri

En belirgin değişiklik, tempoda yaşandı. Gamaredon, kampanyaların hem sıklığının arttığı hem de ölçeğinin büyüdüğü yılın ikinci yarısında çok daha aktifti. Yılın sonlarına doğru grup ayrıca yeni bir teknik de kullanmaya başladı. 26 Eylül 2025 tarihinden itibaren, WinRAR’daki bir güvenlik açığı olan CVE-2025-8088’i kötüye kullanarak, her zamanki kötü amaçlı HTA indiricisini kurbanın Başlangıç klasörüne yerleştirmeye başladı. Bu, indiricinin bir sonraki oturum açılışında çalışmasını sağladı. Ve daha önce büyük ölçüde kullanıcı etkileşimine dayanan bir saldırı zincirine kalıcılık kazandırdı.

İstila edilen sistemin ötesine geçmek için kullanılan silahlandırma araçları

Gamaredon, spearphishing’in ötesinde, yanal hareket için özel silahlandırma araçlarını kullanmaya da devam etti. Bu araçlar, USB sürücülerini, eşlenmiş ağ sürücülerini ve hatta yazılım yükleyicilerini silahlandırarak, grubun ilk saldırıdan sonra kuruluşların içinde veya arasında yayılmasına yardımcı oluyor.

Çoğunlukla dağıtım odaklı 6 yeni araç

Gamaredon, 2025 yılında tamamı PowerShell ile yazılmış altı yeni araç tanıttı. Bunlardan beşi yılın ilk çeyreğinde ortaya çıktı; bu durum, grubun 2025 yılının ilk aylarını yeni dağıtım zincirleri oluşturmaya ayırdığını, yılın ikinci yarısında ise dikkatini daha çok büyük ölçekli spearphishing saldırılarına yönelttiğini gösteriyor.

Bu yeni araçların çoğu nispeten basittir:

• PteroDee ve PteroCache, PowerShell yüklerini belleğe getirip çalıştırmaya yarayan basit PowerShell indiricilerdir. 
• PteroDum da benzer bir amaca hizmet eder ancak VBScript yükleri için kullanılır; bunları geçici olarak diske yazar, çalıştırır ve ardından siler. 
• PteroOdd, Telegra.ph API’si aracılığıyla tek bir PowerShell yükünü almak için kullanılan küçük bir indiricidir ve gözlemlerimize göre, esas olarak Gamaredon’un Turla ile iş birliği yaptığı vakalarda kullanılmış gibi görünüyor.
• PteroEffigy ise bir başka hafif indiricidir ve özellikle bir sonraki C&C sunucusunu elde etmek için GoFile bulut depolama hizmetini kullanmasıyla dikkat çeker.

Yeni araçlar arasında öne çıkan PteroPaste, diğerlerine kıyasla oldukça daha karmaşıktır. Bu araç, bir indirme programı, bir USB silahlandırma aracı ve kalıcılık ile koordinasyon için kullanılan bir çalıştırıcı bileşenini bir araya getirir. PteroPaste’in ilk sürümleri, şifrelenmiş yükler için ara bir hazırlık noktası olarak Rentry’yi kullanıyordu. Daha sonraki sürümler bu yaklaşımdan uzaklaşarak, bunun yerine Dropbox’tan şifrelenmiş bir C&C ana bilgisayar adını alır, bunu yerel olarak şifresini çözer ve ardından tünel hizmetlerinin arkasında gizlenmiş altyapıya bağlanır. PteroPaste, 2025 yılında belgelediğimiz Gamaredon X Turla iş birliğinde yer alan araçlardan biridir.

Gamaredon, muhtemelen yıllar önce kullanımdan kaldırılmış olan eski bir VBScript silahlandırma aracı olan PteroSetup’ı da yeniden kullanıma soktu. Yeniden canlandırılan sürüm, sabit, çıkarılabilir ve ağ sürücülerini yükleyici benzeri yürütülebilir dosyalar için tarar ve bunları hem orijinal yükleyiciyi hem de kötü amaçlı bir VBScript indiriciyi içeren kötü amaçlı kendiliğinden açılan arşivlerle değiştirir. Kurban için dosya hâlâ meşru görünür ancak dosya çalıştırıldığında hem beklenen yükleyici hem de kötü amaçlı kod başlatılır.

Genel olarak, Gamaredon’un silah cephaneliğine eklenen yeni unsurlar, daha önce gördüğümüz bir kalıba uyuyor – grup, son derece sofistike kötü amaçlı yazılımlara yatırım yapmak yerine, hızlı bir şekilde güncellenebilen ve esnek bir şekilde birleştirilebilen çok sayıda basit aracı tercih ediyor.

PteroLNK, PteroPSLoad, PteroPSDoor, PteroVDoor ve PteroBox gibi daha önce bilinen araçlara ilişkin önemli güncellemeler teknik raporda bulunabilir.

Gelişmiş ağ alt yapısı

Gamaredon, ağ altyapısını korumak ve C&C sunucularını gizlemek için kullandığı teknikleri geliştirmeye devam etti. 2025 yılında, grubun üçüncü taraf hizmetlere olan bağımlılığı önemli ölçüde arttı; tünel hizmetleri ve sunucusuz işçi platformları, gerçek arka uç altyapısını gizleme yönteminde giderek daha önemli bir rol oynamaya başladı.

Tünel hizmetleri, gerçek sunucuyu doğrudan ifşa etmeden bir sistemin veya uygulamanın sağlayıcı tarafından kontrol edilen bir etki alanı üzerinden internete açılmasını sağlayan meşru araçlardır. İşleyiciler de benzer bir amaca hizmet eder ancak bir adım daha ileri gider: Sadece trafiği iletmek yerine, kod çalıştırabilen ve istekleri iletmeden önce işleyebilen sunucusuz platformlardır. Uygulamada her ikisi de altta yatan altyapıyı gizlemeye yardımcı olur ve kesintiye uğratmayı zorlaştırır.

Tüneller, Workers ve DDNS’ye dönüş

2024’ün sonuna gelindiğinde Gamaredon, altyapısını gizlemek için zaten Cloudflare tünellerine (trycloudflare.com) büyük ölçüde güveniyordu ve 2025’te bu yaklaşımı daha da genişletti. Mayıs ayında, grubun C&C sunucularını Cloudflare işleyicileri (workers.dev) arkasına sakladığını görmeye başladık; Haziran ayında ise Microsoft’un devtunnels.ms ve Loophole (loophole.site) hizmetlerini de ekledi. Bu hizmetler genellikle birlikte kullanılıyordu; bunlardan biri birincil iletişim yolu olarak işlev görürken diğerleri yedek olarak kullanılıyordu.

Birkaç münferit vakada, loca.lt ve bore.pub gibi diğer tünel hizmetleriyle yapılan denemeler de gözlemledik ancak bunlar grubun düzenli araç setinin bir parçası hâline gelmiş gibi görünmüyordu.

Gamaredon ayrıca bir zamanlar operasyonlarının ayırt edici özelliği olan bir tekniğe geri döndü: Dinamik DNS (DDNS). Birkaç yıl boyunca kayıtlı alan adlarına daha fazla güvenen grup, özellikle spearphishing kampanyalarıyla dağıtılan HTA indiricilerde olmak üzere, birçok araçta yeniden No-IP alan adlarını kullanmaya başladı. Buna paralel olarak, Gamaredon’un çeşitli kampanyalarda Clever Cloud (cleverapps.io) ve Supabase (supabase.co) tarafından sunulan hizmet olarak platform (PaaS) hizmetlerini kötüye kullandığını gözlemledik; bu da grubun, meşru trafiğe karışan ucuz ve tek kullanımlık altyapıları hâlâ aktif olarak aradığını gösteriyor.

Eski bir casusluk kavramından yararlanma: Gizli teslimat noktaları

Gamaredon’un 2025 yılındaki operasyonlarının en önemli yönlerinden biri, sözde “dead-drop” hizmetlerinin yoğun bir şekilde kullanılmasıydı. Bu terim geleneksel casusluktan gelmektedir – doğrudan buluşmak yerine, bir ajan bilgileri halka açık veya gizli bir yere bırakır ve başka bir ajan daha sonra bu bilgileri alır. Çevrimiçi ortamda da ilke benzerdir. Operatörler, gerçek kötü amaçlı sunucuyu doğrudan kötü amaçlı yazılıma gömmek yerine, bu bilgiyi meşru bir web sitesine veya platforma yerleştirir ve kötü amaçlı yazılım da buradan alır. Bu, kötü amaçlı yazılımın önce meşru bir hizmet üzerindeki halka açık bir sayfaya bağlanabileceği, buradan gizli veya hazırlanmış bir değeri okuyabileceği ve ancak bundan sonra asıl C&C sunucusuna bağlanabileceği anlamına gelir.

Bu yaklaşım, saldırganlara çeşitli avantajlar sağlar. Sunucular arasında hızlıca geçiş yapabildikleri için operasyonlarını daha esnek hâle getirir. Ayrıca savunma ekibinin meşru ve yaygın olarak kullanılan hizmetleri doğrudan engellemekten çekinebileceği için engelleme işlemini de zorlaştırır.

2025 yılında Gamaredon, Telegram kanalları (t.me aracılığıyla; Telegram’ın resmi URL kısaltma hizmeti), Telegra.ph (telegra.ph) ve Teletype (teletype.in) platformlarındaki gönderiler, rentry.co, write.as, Dropbox, GoFile, DEV Community (dev.to) ve Mastodon (mastodon.social) sosyal ağları, lesma (lesma.eu), nopaste.net ve Paste.ee (pastee.dev). Bazı durumlarda bu hizmetler, güncellenmiş C&C bilgilerini yayımlamak için kullanıldı. Diğer durumlarda ise yükleri veya bulut depolama yapılandırma verilerini iletmek için kullanıldılar.

2024 yılına kıyasla Gamaredon’un bu “dead drop”ları kullanma biçiminde de bir değişiklik gözlemledik. Operatörler, ham C&C IP adreslerini basitçe yayımlamak yerine, kötü amaçlı yazılımları tünellerin veya “worker”ların arkasına gizlenmiş altyapıya yönlendirmek için bunları giderek daha fazla kullandılar. Başka bir deyişle “dead drop” artık gerçek sunucuyu doğrudan ortaya çıkarmıyordu; bunun yerine başka bir ara katmana işaret ediyordu.

Bulut depolama, tercih edilen veri sızdırma kanalı hâline geldi

Gözlemlediğimiz diğer önemli altyapı değişikliği ise veri sızdırma tarafındaydı. Gamaredon, amiral gemisi niteliğindeki iki dosya hırsızı olan PteroPSDoor ve PteroVDoor’u, çalınan dosyaları S3 uyumlu bulut depolama hizmetlerine yükleyecek şekilde güncelledi – bu hizmetler, Amazon S3 API’sini destekleyen sağlayıcılardır ve aynı araçların ve kodun farklı depolama sağlayıcılarında çalışmasına olanak tanır. Yıl boyunca yapılandırmalar Wasabi’den (wasabisys.com) Tebi’ye (tebi.io) ve ardından Intercolo’ya(de-fra.i3storage.com) kaydı; Aralık ayına gelindiğinde Intercolo, veri sızdırmanın birincil hedefi hâline gelmişti.

Aynı zamanda, PteroBox dosyaları Dropbox’a yüklemeye devam etti ve daha yeni bir varyant, bunu yapmak için rclone yardımcı programını kullandı.

Çalınan dosyaları bulut depolama alanına yüklemek, Gamaredon’un büyük miktarda çalınan veriyi almak için kendi altyapısını sürdürme ihtiyacını azaltır. Ayrıca kötü amaçlı trafiğin meşru depolama sağlayıcılarına erişimle karıştırılmasına da yardımcı olur. Esasen Gamaredon, talimatların nereden geldiğini gizlemekle kalmayıp, çalınan verilerin nereye gittiğini de gizlemek için üçüncü taraf hizmetlerini giderek daha fazla kullanmaktadır.

Sonuç

Gamaredon, 2025 yılı boyunca siber casusluk faaliyetlerini münhasıran Ukrayna’ya odaklamaya devam etti ve ESET telemetri verilerinde yakın gelecekte bu durumun değişeceğini gösteren hiçbir işaret bulunmamaktadır.

2025 yılında tanıtılan altı yeni araç, büyük ölçüde basit indirme araçları olsa da daha önemli gelişme, grubun operasyonlarını destekleyen altyapının sürekli evrim geçirmesiydi. Gamaredon, gizli aktarım noktaları, tüneller, işçiler, dinamik DNS ve bulut depolama kullanımını daha da genişleterek operasyonlarını daha esnek ve engellenmesi daha zor hâle getirdi.

Önceki yıllarda olduğu gibi, grup kötü amaçlı yazılımlarının nispeten basit yapısını, kalıcılık, sık güncellemeler ve meşru çevrimiçi hizmetlerin giderek daha yaratıcı bir şekilde kötüye kullanılmasıyla telafi etti. Rusya’nın Ukrayna’ya karşı savaşı devam ettiği sürece, Gamaredon’un Ukrayna kurumları için önemli bir siber casusluk tehdidi olmaya devam etmesini bekliyoruz.

IOC’ler

Kapsamlı bir tehlike göstergeleri (IoC’ler) listesi, GitHub depomuzda ve Gamaredon dokümanında bulunabilir.