Jena - Russlands Cyberspione machen Urlaub: Immer, wenn auf der Krim und in Russland gefeiert wird, ruht die Arbeit der Hackergruppe Gamaredon. Genau dieses Muster verrät, wer hinter den Angriffen steckt. Die Sicherheitsforscher von ESET haben ihren neuen Report zu einer der aktivsten Spionagegruppen im Ukraine-Krieg veröffentlicht – mit deutlichen Hinweisen auf staatliche Auftraggeber. Der ukrainische Geheimdienst SSU schreibt die Gruppe dem russischen Inlandsgeheimdienst FSB zu; operieren soll sie von der besetzten Krim aus.
Wenn Russland feiert, ruhen die AngriffeEin Detail aus der ESET Telemetrie ist besonders aufschlussreich: Gamaredon entwickelte und aktualisierte seine Schadprogramme auffällig häufig in den Tagen vor wichtigen russischen und auf der Krim begangenen Feiertagen. Während und unmittelbar nach diesen Tagen jedoch ruhte die Entwicklung."Dieses Muster spricht stark dafür, dass es sich bei den Gamaredon-Operatoren um Mitarbeiter mit Behördenbezug handelt", sagt ESET Forscher Zoltán Rusnák, der die Gruppe untersucht. "Die Gruppe legte zu Jahresbeginn eine kurze Pause ein und steckte einen Großteil ihrer Energie in die Entwicklung neuer Werkzeuge."Das Ziel der Angreifer blieb 2025 unverändert: Sie hatten es ausschließlich auf ukrainische Regierungs- und Militäreinrichtungen abgesehen, um kritische Informationen abzugreifen, die russischen Interessen im Krieg dienen könnten.Spionage-Klassiker im neuen Gewand: Tote Briefkästen im NetzEine der wichtigsten Erkenntnisse betrifft die Tarnung der Angriffsinfrastruktur. Gamaredon nutzt verstärkt sogenannte "Dead Drops". Dabei handelt es sich um ein Konzept, das aus der klassischen Spionage stammt: Statt sich direkt zu treffen, hinterlegt ein Agent eine Information an einem unauffälligen Ort, ein anderer holt sie später ab.Im digitalen Raum funktioniert das ähnlich. Statt die Adresse ihres Schadservers direkt in die Software einzubauen, hinterlegen die Angreifer diese auf seriösen, weit verbreiteten Plattformen. Die Schadsoftware ruft dort zunächst eine harmlos wirkende Seite auf, liest einen versteckten Wert aus und verbindet sich erst dann mit dem eigentlichen Kontrollserver. 2025 missbrauchte Gamaredon dafür unter anderem Telegram-Kanäle, Dropbox sowie soziale Netzwerke wie Mastodon. Der Vorteil für die Angreifer: Sicherheitsverantwortliche zögern oft, populäre und legitime Dienste pauschal zu sperren.Neue Allianz unter russlandnahen GruppenESET beobachtete zudem, dass Gamaredon Anfang 2025 mit Turla und Sandworm zusammenarbeitete, einer weiteren russlandnahen Gruppe, die ebenfalls mit dem FSB in Verbindung gebracht wird. Solche Kooperationen deuten auf eine zunehmend koordinierte Cyberspionage hin, mit der die beteiligten Gruppen ihre Schlagkraft erhöhen.Lücke in WinRAR ausgenutztIm Herbst 2025 begann die Gruppe außerdem, eine Schwachstelle in der weit verbreiteten Pack-Software WinRAR (CVE-2025-8088) auszunutzen, um ihre Schadsoftware automatisch beim nächsten Anmelden des Opfers zu starten. Insgesamt brachte Gamaredon sechs neue Schadprogramme zum Einsatz und verlagerte den Abfluss gestohlener Daten zunehmend in handelsübliche Cloud-Speicher – damit verschmilzt der Datendiebstahl optisch mit ganz normalem Datenverkehr.ESET geht davon aus, dass Gamaredon eine ernstzunehmende Bedrohung für ukrainische Einrichtungen bleibt, solange der russische Angriffskrieg andauert.Weitere Details liefern der neue ESET-Blogpost "Gamaredon in 2025: Einsatz von Tunneln, Arbeitern, geheimen Übergabeorten und neuen Allianzen ( https://www.welivesecurity.com/de/eset-research/gamaredon-in-2025-einsatz-von-tunneln-arbeitern-geheimen-ubergabeorten-und-neuen-allianzen )" auf WeLiveSecurity.com sowie das ESET-Whitepaper "Cyberespionage the Gamaredon way ( https://web-assets.esetstatic.com/wls/en/papers/white-papers/cyberespionage-gamaredon-way.pdf )".(Ende)Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: philipp.plum@eset.com Website: www.eset.de