Gamaredon khai thác lỗ hổng WinRAR để phát tán GammaWorm và GammaSteel nhắm vào Ukraine

Nhóm tin tặc Nga Gamaredon đang tiếp tục khai thác lỗ hổng WinRAR (CVE-2025-8088) để phát tán nhiều dòng malware như GammaWorm và GammaSteel nhằm đánh cắp dữ liệu và thực hiện các hoạt động gián điệp nhắm vào Ukraine.
Nhóm tin tặc Gamaredon khai thác lỗ hổng WinRAR

Nhóm tin tặc Nga được biết đến với tên gọi Gamaredon đã bị phát hiện tiếp tục khai thác một lỗ hổng trong WinRAR để phát tán nhiều dòng malware nhằm mục đích đánh cắp dữ liệu và lây lan mã độc.

Theo công ty an ninh mạng Sekoia của Pháp, hoạt động này liên quan đến việc vũ khí hóa CVE-2025-8088, một lỗi Path Traversal trong WinRAR, để khởi chạy một tệp HTML Application (HTA) có tên là GammaPhish. Payload này sau đó được sử dụng để tải xuống các trình tải VBScript (Visual Basic Script) trung gian mang tên mã GammaLoad. Chuỗi lây nhiễm này đã được ghi nhận vào tháng 1 năm 2026.

"Mục tiêu chính của chúng là fingerprint hệ thống máy chủ, cập nhật cấu hình mạng trong registry bằng cách sử dụng các dead drop resolvers (DDRs), sau đó tải xuống và thực thi các payload VBScript tùy ý từ các máy chủ C2," Sekoia cho biết.

Phân tích mã độc GammaWorm

Một trong các payload được triển khai là một loại sâu máy tính VBScript có tên GammaWorm. Nó thiết lập sự hiện diện lâu dài (persistence) thông qua các scheduled tasks và được thiết kế để ẩn các thư mục hợp lệ trong các ổ đĩa chia sẻ mạng và USB, sau đó thay thế chúng bằng các tệp Windows Shortcut (LNK) độc hại. Khi người dùng click vào, mã độc sẽ thực thi các mã tùy ý được truy xuất từ máy chủ C2.

Để xác định máy chủ C2 của mình, GammaWorm thực hiện một yêu cầu GET thông qua curl tới một kênh Telegram công khai được mã hóa cứng. Bằng cách sử dụng các nền tảng hợp pháp như Telegram, kẻ tấn công muốn trà trộn vào lưu lượng truy cập thông thường, tránh bị phát hiện và duy trì các hoạt động gián điệp dài hạn. GammaWorm cũng dựa vào kỹ thuật NTFS Alternate Data Streams (ADS) để che giấu các mô-đun cốt lõi của nó.

GammaSteel và khả năng đánh cắp dữ liệu

Một dòng malware khác được phân phối qua GammaLoad là trình đánh cắp thông tin dạng mô-đun có tên mã GammaSteel. Nó có khả năng thu thập các tệp tin khớp với các phần mở rộng nhất định và đẩy chúng lên một bucket Amazon Web Services (AWS) S3 hoặc một máy chủ do kẻ tấn công kiểm soát như một cơ chế dự phòng.

Sơ đồ chuỗi lây nhiễm của Gamaredon
Sơ đồ mô tả quy trình thực thi mã độc từ GammaPhish đến các payload cuối cùng.

Sekoia cho biết các trình tự lây nhiễm này có thể được sử dụng để phân phối các dòng malware khác, chẳng hạn như GammaWipe (còn gọi là GamaWiper), tùy thuộc vào mục tiêu của kẻ tấn công.

Gamaredon là một nhóm xâm nhập được chính phủ Nga tài trợ, chính thức có liên kết với Cơ quan An ninh Liên bang (FSB). Nhóm này có lịch sử lâu dài nhắm mục tiêu vào Ukraine, đặc biệt là các cơ quan chính phủ, quân đội và các đơn vị hạ tầng trọng yếu, sử dụng email spear-phishing chứa các tệp đính kèm độc hại, trong trường hợp này là các kho lưu trữ RAR đã bị cài bẫy.

Gia tăng các mối đe dọa nhắm vào Ukraine

Sự gia tăng hoạt động này trùng hợp với việc nhóm UAC-0184 nhắm vào các mục tiêu liên quan đến quân sự Ukraine để phát tán một tệp thực thi liên quan đến chương trình hợp lệ PassMark BurnInTest thông qua mồi nhử tệp LNK. Một nhóm đe dọa thứ hai nhắm vào Ukraine là UAC-0247, chuyên nhắm vào những người điều hành máy bay không người lái (drone) để triển khai các trình thả HTA thông qua tệp nén ZIP và một backdoor có khả năng thiết lập reverse shell.

Các chuyên gia săn lùng mối đe dọa cũng đã ghi nhận sự tiến hóa của PixyNetLoader, một trình tải malware được cho là của APT28, liên quan đến các chiến dịch khai thác lỗ hổng Microsoft Office (CVE-2026-21509) để trích xuất implant COVENANT Grunt. Theo ExaTrack, dòng malware này đã được phát hiện từ tháng 12 năm 2024, với các biến thể mới nhất được tìm thấy vào giữa tháng 4 năm 2026.