Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Computable Awards
    • Nieuws
    • Winnaars
    • Partner worden
    • Inzendingen
    • De jury en experts
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
    • Magazine
    • Adverteren in het magazine
  • Nieuwsbrief
Onderstaande bijdrage is van een externe partij. De redactie is niet verantwoordelijk voor de geboden informatie.
OK

Aan Rusland gelinkte Gamaredon : nieuwe tools en meer, zegt ESET Research

25 juni 20265 minuten leestijdGovernance & PrivacyKey Communications

• Gedurende heel 2025 richtte Gamaredon, de aan Rusland gelinkte dreigingsgroep, zich uitsluitend op overheids- en militaire instellingen in Oekraïne.
• De operatoren van Gamaredon ontwikkelden en implementeerden zes nieuwe kwaadaardige PowerShell-tools, die ESET in zijnwitboek analyseert.
• Hun tools voor het stelen van bestanden kregen upgrades om exfiltratie naar cloudopslagservices (Wasabi, Tebi en Intercolo) te ondersteunen, wat de primaire exfiltratie-methode werd.

BRATISLAVA, 25 juni 2026 — ESET Research heeft zijn nieuwe rapport gepubliceerd over Gamaredon, een aan Rusland gelinkte dreigingsactor, en diens activiteiten in 2025. Het rapport analyseert de nieuwe tools in hun arsenaal, belangrijke veranderingen in de wijze waarop zij hun netwerkinfrastructuur beschermen, en het toenemende gebruik van legitieme diensten van derden om zowel C&C-informatie (command-and-control) als gestolen data te verbergen. Tijdens heel 2025 bleef Gamaredon zeer actief en volledig op Oekraïne gericht. Het uiteindelijke doel van de groep blijft het stelen van gevoelige informatie en andere cruciale data die gebruikt worden om de Russische belangen in de oorlog in Oekraïne te ondersteunen. De activiteiten van Gamaredon sluiten nauw aan bij de geopolitieke doelstellingen van Rusland, waarbij Oekraïense overheids- en militaire instellingen worden aangevallen om een inlichtingenvoordeel te verkrijgen.

 

“In januari 2025 nam Gamaredon een korte operationele pauze, maar besteedde het grootste deel van de eerste helft van het jaar aan de ontwikkeling en implementatie van nieuwe tools. ESET stelde vast dat heel wat updates werden gemaakt in de aanloop naar belangrijke feestdagen in Rusland en de Krim. Tijdens of direct na deze feestdagen werden geen updates waargenomen, wat suggereert dat de operatoren van Gamaredon wellicht overheidsmedewerkers zijn”, aldus Zoltán Rusnák, de ESET-specialist die Gamaredon onderzoekt. De groep wordt door de Oekraïense veiligheidsdienst gelinkt aan het 18e Centrum voor Informatiebeveiliging van de Russische FSB en zou vanuit de bezette Krim werken

 

 Begin 2025 werkte Gamaredon samen met Turla, een andere aan Rusland gelinkte actor. Deze samenwerking belicht het potentieel voor gecoördineerde cyberespionage-campagnes tussen aan Rusland gelieerde groepen, wat hun operationele impact zou vergroten. Gamaredon werkte voordien ook samen met InvisiMole, een dreigingsactor die door ESET werd ontdekt. Meer algemeen was er in 2025 ook een ander voorbeeld van samenwerking en taakverdeling tussen aan Rusland gelinkte actoren. ESET zag dat de aan Rusland gelinkte groep UAC-0099 initiële toegangsprocedures uitvoerde en daarna gevalideerde doelwitten overdroeg aan Sandworm voor vervolgacties.

 

In de tweede helft van 2025 schakelde Gamaredon meer over op grotere en meer frequente spear-phishing-campagnes. Het tempo was de meest opvallende verandering. De groep was dus veel actiever naarmate de campagnes zowel frequenter als grootschaliger werden. Naast spear-phishing bleef Gamaredon ook aangepaste tools voor laterale verspreiding gebruiken. Deze tools maken USB-sticks, toegewezen netwerkstations en zelfs software-installatieprogramma’s tot wapens, zodat de groep zich na de eerste inbreuk binnen of tussen organisaties kon verspreiden.

 

In 2025 introduceerde Gamaredon zes nieuwe tools, allemaal geschreven in PowerShell: PteroDee, PteroCache, PteroDum, PteroOdd, PteroPaste en PteroEffigy. De meest opvallende is PteroPaste, die heel wat complexer is dan de andere. Het combineert een downloader, een USB-wapengenerator en een runner-component voor persistentie en orkestratie. Daarnaast werd een oude VBScript-wapengenerator nieuw leven ingeblazen: PteroSetup, die voor het eerst verscheen in 2021.

Daarnaast zochten de operatoren van Gamaredon naar nieuwe manieren om hun netwerkinfrastructuur te beschermen. Hun C&C-servers zitten nu verborgen achter diverse diensten van derden, zoals tunnels, workers, DDNS (dynamische DNS) en PaaS (platform as a service).

 

Een van de belangrijkste activiteiten van Gamaredon in 2025 was het veelvuldige gebruik van zogenaamde ‘dead-drop’-diensten. De term is afkomstig uit de klassieke spionage: in plaats van elkaar direct te ontmoeten, laat een agent informatie achter op een openbare of verborgen locatie, en een ander haalt deze later op. Online is dit vergelijkbaar. In plaats van de werkelijke kwaadaardige server direct in de malware te integreren, plaatsen de aanvallers de informatie op een legitieme website of platform, waarna de malware daar dan wordt opgehaald. De malware kan eerst contact opnemen met een publieke pagina op een legitieme dienst en daar een verborgen of geënsceneerde waarde uitlezen en daarna verbinding maken met de werkelijke C&C-server. In 2025 misbruikte Gamaredon op deze manier talloze diensten zoals Telegram-kanalen, Dropbox, het sociale netwerk DEV Community, Mastodon en andere.

 

De andere belangrijke infrastructuurverandering die ESET zag, was data-exfiltratie. Gamaredon heeft twee van zijn belangrijkste programma’s voor bestandsdiefstal, PteroPSDoor en PteroVDoor, geüpgraded om gestolen bestanden te uploaden naar S3-compatibele cloudopslagservices. Deze providers ondersteunen de Amazon S3 API (Wasabi, Tebi en Intercolo), zodat dezelfde tools en code bij verschillende opslagproviders werken. PteroBox bleef op die manier dan ook bestanden naar Dropbox uploaden.

 

Gestolen bestanden naar cloudopslag uploaden, vermindert de noodzaak voor Gamaredon om een eigen infrastructuur te onderhouden om grote hoeveelheden gestolen data te ontvangen. Het helpt ook om kwaadaardig verkeer te vermengen in de toegang tot legitieme opslagproviders. Gamaredon maakt steeds meer gebruik van diensten van derden, niet alleen om de herkomst van instructies te verbergen, maar ook om de bestemming van gestolen data te verbergen.

 

Raadpleeg voor meer details over Gamaredon en hun activiteiten in 2025 het witboek en de blog

“Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances” op www.WeLiveSecurity.com. Volg ook ESET Research op  X, BlueSky en Mastodon voor de nieuwste info.

 

Meer lezen

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Videobeveiliging naar de cloud

    Ontwikkelingen in videobeveiliging en cloud-gebaseerde securityplatformen

    Computable.nl

    Route naar digitale autonomie en soevereiniteit

    Van A(merikaans) naar Beter. Complexiteit zit niet in de nieuwe locatie, maar de weg er naar toe.

    Computable.nl

    Comeback? Private Cloud heroverwogen.

    Waarom regie, security en controle opnieuw centraal staan

    Awards-nominaties

    Pijl naar rechts icoon

    Check Point

    Nadia van Beelen (Sales Associate, Check Point Technologies)
    Pijl naar rechts icoon

    ForceFusion

    Amber Quist (Cyber security specialist, ForceFusion)
    Pijl naar rechts icoon

    Hyperfox

    Vereenvoudiging bestelproces bij Duplast, specialist in voedselverpakkingen (Duplast en Hyperfox)
    Pijl naar rechts icoon

    Prodek Solutions BV

    Compleet pakket voor digitale aansturing duurzame energie bij Odura (Odura en Prodek Solutions)
    Pijl naar rechts icoon

    Norday

    Hyper-gepersonaliseerde cultuurpodcasts die nieuwe bezoekers vaker laten terugkomen via Wondercast (Norday en het Rotterdams Philharmonisch Orkest)
    Alle inzendingen
    Pijl naar rechts icoon

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    Software & Development

    Businessanalyse als fundament voor duu...

    Een effectief traject begint bij het expliciet maken van businesswaarde. Die businesswaarde bestaat uit meer dan alleen functionele wensen. Het vraagt inzicht in de essentiële data, afhankelijkheden binnen processen en...

    Meer persberichten

    Meer lezen

    Governance & Privacy

    Ethisch hacker en app-maker ruziën over privacy-lek in supporters-app

    Cloud & Infrastructuur

    Rijk scherpt cloudbeleid aan: minder afhankelijk van VS en strengere eisen, maar lange overgangstermijn

    Overheid

    Solvinity in de aanval: Staat blokkeert verkoop maar wilde zelf nooit toehappen

    De overstap
    Data & AI

    Soevereiniteit: gemak wint nog vaak van principes

    Cloud & Infrastructuur

    Azure en AWS voorlopig onder DMA-toezicht: 9 vragen over EC‑besluit

    Google Big Tech
    Cloud & Infrastructuur

    Kort: Google Cloud doorstaat privacytoets Rijk, ai ‘vertaalt’ ziekenhuisgesprekken (en meer)

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten
    • Blogwire

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2026 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs