Le groupe de hackers liés à la Russie, Gamaredon, mène une campagne de cyberespionnage active contre l'Ukraine depuis septembre dernier. Le Français HarfangLab vient de publier une analyse troublante de sa chaîne d'infection.
Les cybercriminels du groupe affilié au FSB russe, connu sous le nom de Gamaredon, usent d'une méthode qui consiste à envoyer de faux e-mails officiels, sous formes de convocations judiciaires et d'actes de procédure, pour piéger des fonctionnaires ukrainiens. Ils en profitent alors pour installer discrètement deux malwares sur leurs machines, GammaDrop puis GammaLoad. Depuis l'automne 2025, ce sont douze vagues d'attaques successives qui ont visé les administrations sécuritaires et judiciaires du pays. Le tout porté par une infrastructure numérique pensée pour se renouveler en permanence, aussi difficile à bloquer qu'à suivre à la trace. Les spécialistes cyber français de la société HarfangLab documentent comme rarement le sujet cette semaine.
Une faille WinRAR et de faux documents officiels pour tromper les fonctionnaires ukrainiens
Gamaredon, alias Aqua Blizzard, Primitive Bear ou Shuckworm, s'en prend quasi exclusivement à l'Ukraine depuis 2013, nous étions quelques mois alors avant l'annexion de la Crimée par la Russie. Mais pour la cette campagne récente identifiée par HarfangLab, le groupe exploite une faille de sécurité référencée CVE-2025-8088, qui affecte toutes les versions de WinRAR jusqu'à la 7.13. La vulnérabilité en question permet à un fichier malveillant de se glisser en dehors du dossier d'extraction prévu, et donc d'atterrir là où l'attaquant le souhaite, sans que la victime ne s'en aperçoive. La faille avait déjà été signalée par l'éditeur de sécurité slovaque ESET et exploitée par d'autres groupes malveillants depuis l'été dernier.
Pour que leurs e-mails ne finissent pas en spam et paraissent crédibles, les hackers les envoient depuis de vrais comptes officiels ukrainiens qui ont été piratés, souvent ceux de fonctionnaires judiciaires, d'élus municipaux ou d'agents des forces de l'ordre. Les messages sont rédigés en ukrainien et imitent très bien des documents administratifs réels, comme des convocations au tribunal, des actes de procédure, ou des courriers électroniques officiels. Il est forcément difficile, dans ces conditions, de se méfier d'un e-mail qui ressemble en tout point à celui qu'on attend.
La pièce jointe, elle, se présente comme une simple archive RAR, le même format compressé que l'on utilise régulièrement pour envoyer des fichiers. Sauf qu'à l'intérieur, les hackers ont glissé un script malveillant bien caché derrière le faux PDF visible par la victime, dans une zone du fichier normalement réservée à des métadonnées invisibles. Quand l'utilisateur extrait l'archive, WinRAR exécute sans le signaler une instruction piégée qui redirige ce script vers le dossier de démarrage de Windows, celui dont les programmes se lancent automatiquement à chaque allumage de l'ordinateur. La machine est ainsi compromise, sans que rien ne paraisse anormal à l'écran.
GammaDrop et GammaLoad, le duo diabolique qui transforme un clic en intrusion
Une fois installé sur la machine, le premier malware, GammaDrop, joue un peu le rôle d'éclairer. Son code est volontairement rendu illisible, carrément noyé sous des centaines de fausses instructions destinées à déjouer les antivirus. Il a pour mission de contacter discrètement un serveur de commande distant, hébergé sur l'infrastructure cloud de Cloudflare pour paraître légitime, et télécharger un second programme malveillant qu'il exécute aussitôt en silence. C'est ce deuxième programme, GammaLoad, qui représente le vrai danger.
GammaLoad se présente comme un programme massif compris entre 4 000 et 5 000 lignes de code, mais il s'agit, en grande partie en tout cas, de remplissage, là encore destiné à tromper les logiciels de sécurité. Une fois nettoyé de tout ce bruit, il ne reste que 130 lignes vraiment utiles. Le malware commence par s'inscrire dans les paramètres système de Windows pour redémarrer automatiquement à chaque allumage de l'ordinateur, puis il passe à la suite. Il se met alors à collecter en silence des informations d'identification sur la machine infectée, son nom sur le réseau, son disque système et un numéro unique lié au stockage, afin de transmettre une sorte de carte d'identité de la victime à ses opérateurs.
En fait, toutes les 3,5 minutes, l'appareil infecté envoie automatiquement ces informations aux hackers, comme un signal de présence régulier, un pointage. Mais contrairement à d'autres cyberattaques qui fonctionnent en pilote automatique, c'est ici un être humain qui décide de la suite. Selon ce qu'il sait désormais de la victime, il choisit, ou non, de lui envoyer un outil malveillant supplémentaire. Cette étape manuelle montre que nous sommes bien dans le cas d'une opération d'espionnage minutieusement ciblée, et non d'un piratage de masse qui ratisse large sans se soucier de qui sont les victimes.
Une infrastructure caméléon pour des cibles bien choisies
Gamaredon sait rester invisible. Les adresses de ses serveurs de commande (C2) par lesquels transitent les ordres envoyés aux machines infectées sont hébergées chez Cloudflare et régulièrement remplacées avant chaque nouvelle vague d'attaques. En parallèle, le groupe enregistre systématiquement ses domaines en double, avec les extensions .ru et .online à la fois, auprès du même registrar russe. Ajoutez à cela un système de DNS à flux rapide, qui change constamment les adresses IP associées à ces domaines d'ailleurs, et vous obtenez une infrastructure quasi impossible à bloquer dans le temps.
Les cibles de Gamaredon restent les institutions d'État ukrainiennes. Le Service de sécurité d'Ukraine, le SSU, qui est un peu l'équivalent d'une combinaison entre la DGSI et la DGSE en France, est l'organisme le plus visé. Notons que les hackers s'en prennent délibérément aux antennes régionales plutôt qu'au siège central, en ciblant par exemple les directions de Lougansk, Lviv ou Tchernivtsi. Une façon de frapper là où les défenses sont moins solides, comme en ont l'habitude les groupes APT liés à la Russie.
HarfangLab rappelle qu'un simple protocole d'authentification des e-mails, appelé DMARC, correctement configuré aurait suffi à bloquer une grande partie des messages piégés. Car Gamaredon ne révolutionne rien techniquement. Ce qui le rend redoutable, c'est avant tout sa constance. Avec douze vagues d'attaques en moins de huit mois, une cadence infernale, et une infrastructure qui se renouvelle en permanence, le groupe ne cherche pas à éblouir, mais à épuiser son adversaire désigné.
