The FSB-linked cyber-espionage group Gamaredon has overhauled its operational tactics, largely abandoning custom malware in favor of blending into legitimate internet services and widely used software, according to a new investigation by French threat intelligence firm Sekoia.io. The group, which has persistently targeted Ukraine’s government, military, and critical infrastructure for over a decade, now relies on a chain of mundane platforms—Telegram, Cloudflare, and even the WinRAR archiving tool—to deliver and control its spyware while evading detection.

The attack begins, typically, with a booby-trapped email containing a RAR archive. This archive exploits CVE-2025-8088, a critical WinRAR vulnerability patched in August 2025 but still unpatched in many environments. The flaw, also abused by Russian groups Sandworm and Turla and Chinese actors per Google Threat Intelligence, allows a malicious file to be silently dropped into the Windows startup folder. On the next reboot, the infection activates automatically. The malware can then jump to any connected USB drive, a technique designed to cross air gaps into isolated networks.

For command and control, Gamaredon has turned to a system of “Dead Drop Resolvers”—a nod to cold war spycraft. Instead of communicating with dedicated servers that can be blocked, the malware checks a public Telegram page (accessible without an account) or posts on Telegra.ph, Teletype, or Cloudflare-hosted subdomains. Each stage retrieves a new encoded address stored in the Windows registry, creating a redundant chain of relays. If one channel is taken down, others immediately take over, letting operators re-tool their infrastructure without ever pushing new software to infected machines.

The spyware itself, which Sekoia dubs GammaWorm (in an effort to rationalize fragmented naming), uses Windows Alternate Data Streams to attach invisible payloads to ordinary files and folders—hidden from File Explorer and not affecting displayed size. It plants scheduled tasks with benign-sounding names like “DiskDiagnosticDataCollector” and “SilentCleanup.” On removable and network drives, it hides legitimate folders, replacing them with identically named and iconed shortcuts that, when clicked, open the original directory while silently executing the malware in the background.

Social engineering lures lean heavily on war-related fears: filenames in Ukrainian refer to military draft notices, lists of fallen soldiers’ equipment, purportedly classified documents, or even explicit content meant to exploit morbid curiosity. The architecture is deliberately resilient: every component is a full backdoor. Partial removal accomplishes little, because any remaining piece can download fresh tools and restore control. Sekoia therefore recommends full system reinstallation rather than attempted clean-up.

The campaign illustrates a broader Russian intelligence shift: as custom hacking tools become easier to fingerprint and block, state-sponsored groups increasingly hide inside the ordinary digital traffic of platforms and software used by millions.

Il y a les cyberattaques qui font la une, avec leurs rançongiciels paralysant des hôpitaux ou leurs coupures de courant spectaculaires. Et il y a celles, beaucoup plus silencieuses, qui visent à rester invisibles pendant des années.

C’est dans cette seconde catégorie qu’opère Gamaredon, un groupe de pirates informatiques que les services ukrainiens attribuent directement au FSB, l’héritier du KGB. Sa cible : les administrations, l’armée et les infrastructures critiques ukrainiennes, espionnées sans relâche depuis plus d’une décennie.

SekoiaCe qui inquiète aujourd’hui n’est pas tant la nouveauté de la cible que la sophistication du camouflage.

Dans une enquête très détaillée, l’entreprise française Sekoia.io, qui surveille les groupes de pirates liés à des États, décrit comment Gamaredon a quasiment abandonné les outils de piratage « faits maison » pour se nicher dans des services comme Telegram, l’infrastructure de Cloudflare ou encore le logiciel de compression de fichiers WinRAR, installé sur des millions d’ordinateurs dans le monde.

Une clé USB ou un mail piégé comme porte d’entrée

Tout commence, sans surprise, par un mail.

Les chercheurs de Sekoia ont mis la main sur un document piégé envoyé aux victimes, qui ouvre une archive compressée au format RAR. Mauvaise nouvelle pour les utilisateurs retardataires : cette archive exploite une faille de sécurité critique dans WinRAR (CVE-2025-8088), corrigée par l’éditeur dès août 2025, mais visiblement pas par tout le monde.

D’après les recherches de Google Threat Intelligence, cette même faille a aussi été utilisée par d’autres groupes de pirates russes comme Sandworm et Turla, ainsi que par des groupes chinois.

La faille permet de déposer un fichier malveillant directement dans le dossier de démarrage de Windows, sans que l’utilisateur s’en aperçoive. Au prochain redémarrage de l’ordinateur, le piège se referme automatiquement.

Une fois la machine infectée, le logiciel espion peut aussi se propager physiquement, en infectant les clés USB connectées à l’appareil. C’est une technique redoutable pour atteindre les réseaux dits « air-gapped », ces systèmes sensibles volontairement déconnectés d’Internet.

Telegram et Cloudflare comme standards téléphoniques clandestins

L’élément le plus frappant de l’enquête concerne la manière dont les pirates pilotent leurs logiciels à distance.

Plutôt que d’utiliser des serveurs informatiques facilement repérables et bloquables, Gamaredon a choisi de cacher ses instructions sur des plateformes que les systèmes de sécurité ont l’habitude de laisser passer sans broncher.

Le logiciel espion va ainsi consulter une page Telegram publique, accessible sans même avoir de compte ni l’application installée, pour y récupérer une adresse codée.

Il fait de même avec Telegra.ph, l’outil de publication d’articles propre à Telegram, avec Teletype, une autre plateforme de blogs, ou encore avec des sous-domaines hébergés gratuitement sur l’infrastructure de Cloudflare.

À chaque étape, une nouvelle adresse est récupérée et stockée dans le registre Windows de la machine infectée, formant une chaîne de relais quasiment impossible à couper d’un seul coup. Fermer un seul de ces canaux ne suffit pas, puisque les autres prennent immédiatement le relais.

Cette technique, baptisée  » Dead Drop Resolvers  » par les spécialistes, en référence aux boîtes aux lettres mortes utilisées par les espions de la guerre froide, permet aux opérateurs russes de changer leur infrastructure de pilotage à la volée, sans jamais avoir à renvoyer un nouveau logiciel à leurs victimes.

Un ver qui se cache dans les recoins du disque dur

Pour assurer sa survie, le logiciel malveillant, que les chercheurs ont rebaptisé GammaWorm dans une tentative de clarifier la nomenclature éclatée de ce type de menaces, utilise une fonctionnalité méconnue du système de fichiers de Windows, les « flux de données alternatifs » (Alternate Data Streams).

Conçue à l’origine pour assurer une compatibilité avec les anciens ordinateurs Macintosh, cette fonctionnalité permet d’attacher des données invisibles à un fichier ou un dossier parfaitement normal, sans que cela n’apparaisse dans l’explorateur de fichiers ni ne modifie la taille apparente du dossier.

Autant dire un coffre-fort caché dans le mur, que seule une commande très spécifique permet de révéler.

Le logiciel espion s’installe également via des tâches planifiées portant des noms volontairement anodins et techniques (DiskDiagnosticDataCollector, SilentCleanup ) censées évoquer des outils de maintenance Windows plutôt que des espions.

Sur les clés USB et les disques partagés en réseau, la méthode est particulièrement vicieuse.  Le logiciel rend invisibles les dossiers légitimes de l’utilisateur et les remplace par de faux raccourcis portant exactement le même nom et la même icône.

En cliquant, ces raccourcis piégés ouvrent bien le dossier d’origine, donnant l’illusion que tout est normal, tout en exécutant silencieusement le programme espion en arrière-plan.

Des leurres qui jouent sur les peurs de la guerre

Pour inciter les utilisateurs à cliquer sur les bons fichiers, les pirates misent sur l’ingénierie sociale, en jouant sur l’actualité tragique du pays visé.

Les chercheurs de Sekoia ont retrouvé des noms de fichiers leurres en ukrainien évoquant des convocations militaires, des listes de matériel de soldats tués au combat, ou des documents prétendument classifiés. Certains noms de fichiers, plus choquants, misent sur des contenus à caractère explicite pour pousser la victime à ouvrir le piège par simple curiosité malsaine.

Le point le plus préoccupant relevé par les chercheurs tient à l’architecture même de cette opération : chaque étape de l’infection constitue, à elle seule, une porte dérobée complète. Autrement dit, même si une victime parvient à supprimer une partie du logiciel malveillant, n’importe quel composant restant suffit aux opérateurs russes pour reprendre la main, télécharger de nouveaux outils et poursuivre l’espionnage.

Sekoia recommande d’ailleurs aux organisations touchées une réinstallation complète des machines infectées plutôt qu’un simple nettoyage, jugé insuffisant face à la redondance du système.

L’enquête illustre une tendance de fond du renseignement russe documentée par plusieurs agences de cybersécurité occidentales. A mesure que les outils de piratage « maison » deviennent plus faciles à détecter, les services de renseignement privilégient des techniques se dissimulant dans le trafic numérique ordinaire des entreprises et des particuliers.

The post Gamaredon : comment le FSB a réinventé son arsenal d’espionnage appeared first on Silicon.fr.