Русские хакеры спрятали червя там, куда никто не смотрит, и пошли гулять по Украине

Хакерская группа Gamaredon получила обновлённый инструмент скрытого распространения по украинским сетям. Червь GammaWorm размещает свои компоненты в альтернативных потоках данных NTFS и почти не оставляет следов на дисках заражённых машин. Атаки идут через уязвимость CVE-2025-8088 в архиваторе WinRAR.

Исследователи компании Sekoia зафиксировали активность в январе 2026 года, и на момент публикации отчёта кампания продолжалась. Аналитики восстановили цепочку заражения по артефактам с заражённых носителей и более чем 70 образцам, переданным партнёром. Картинка получилась техничная и неприятная для защитников. Группировка обновила арсенал и почти полностью перешла на VBScript без классического размещения файлов на диске.

Жертвами становятся организации Украины, связанные с государственным управлением, обороной, инфраструктурой и документооборотом. Задачи операторов остаются прежними. Закрепиться в сети, утащить документы и держаться в системе дольше, чем позволяет стандартная защита.

Старт атаки выглядит почти буднично. Жертва получает xHTML-файл с вредоносным загрузчиком внутри. После открытия документ подкладывает на компьютер RAR-архив. Этот этап в Sekoia отслеживают под именем GammaPhish. Под видом обычного документа уже разворачивается аккуратно собранный конвейер заражения.

Интересно, что архив эксплуатирует ту самую уязвимость CVE-2025-8088 в WinRAR, которую аналитики Google ранее связывали сразу с несколькими русскоязычными операторами.

Ошибка связана с обходом пути и позволяет размещать файлы там, где обычный архив их оставлять не должен. В кампании Gamaredon она используется, чтобы забросить скрытый HTA-файл прямо в папку автозагрузки Windows.

После следующего входа пользователя HTA-файл запускается сам и подтягивает новую полезную нагрузку с удалённого сервера. Для отвода глаз показывается поддельный PDF-документ. На экране якобы безобидный файл, а в системе уже разворачивается тихая настройка вредоносной машины.

Самое интересное начинается на стадии GammaWorm. Вместо привычного размещения модулей по папкам червь использует Alternate Data Streams в NTFS. Это штатная функция Windows, разрешающая хранить дополнительные данные рядом с обычным файлом. В стандартном списке каталога такие данные не видны, и для пользователя и многих утилит система выглядит почти чистой.

Закрепление в системе работает через несколько слоёв одновременно:

• Запланированные задачи, замаскированные под штатное обслуживание Windows.
• Правки реестра, отключающие отображение скрытых файлов.
• Хранение модулей в потоках NTFS вместо обычных папок.
• Резервные источники полезной нагрузки на случай удаления отдельных компонентов.

Получается ловкий фокус. Червь работает, механизмы запуска подняты, модули загружены, а в привычных местах диска почти пусто.

Дальше GammaWorm идёт по сети классическим способом, через USB-накопители и сетевые диски. Настоящие папки на накопителях скрываются, а вместо них появляются вредоносные ярлыки с провокационными украинскими названиями. Расчёт простой. Сотрудник видит знакомую или эмоционально заряженную тему, кликает по ярлыку, и червь перепрыгивает на новую машину.

Связь с операторами устроена нестандартно. Адреса действующих управляющих серверов GammaWorm получает через легитимные публичные сервисы. Среди площадок-тайников оказались Telegram и Cloudflare. После получения данных червь складывает их в реестр и переходит в режим бэкдора.

В этом режиме программа может бесконечно ждать команд. Операторы отправляют код, который выполняется на заражённой машине. Для атакующих это удобный формат. Инструмент не просто расползается по сети, а превращает каждую систему в точку удалённого управления.

Стоит обратить внимание на оценку самих исследователей. По их словам, частичная очистка заражённых машин не работает и приводит лишь к повторной активации червя.

Аналитики Sekoia сразу предупредили о двух осложнениях при реагировании:

• Резервные источники полезных нагрузок возвращают вредоносный код после неполной чистки.
• Потоки NTFS остаются невидимыми для части стандартных инструментов.
• Маскировка под задачи обслуживания Windows тормозит обнаружение.

Поэтому в Sekoia рекомендуют не пытаться вычищать систему вручную. Самым безопасным вариантом аналитики называют полное удаление данных с заражённых носителей и систем, где замечены признаки работы GammaWorm. Дополнительная мера касается архиватора. Организациям советуют обновить WinRAR до версии 7.13 или новее, где CVE-2025-8088 уже закрыта.

В этом эпизоде архиватор внезапно оказался не скучной утилитой из старой папки «Софт», а полноценной входной дверью для шпионской операции. Параллельные эпизоды последних месяцев укладываются в общий рисунок активности группировки.

Ранее сообщалось, что «русские» хакеры заставили ChatGPT и Gemini работать на разведку. Команда GreyVibe собрала рабочую экосистему вредоносных программ и подключила к ней генеративные нейросети. ChatGPT, Google Gemini и Ideogram AI применялись для создания приманок, фальшивых страниц и убедительных документов. Основной удар приходился по украинским организациям и структурам, связанным с Украиной.

Также мы писали о том, что русских хакеров обвинили в атаках на старые роутеры и превращении их в скрытую сеть для перехвата трафика. Несколько лет операторы скрытно взламывали домашние и офисные маршрутизаторы и собирали из них инфраструктуру для перехвата интернет-трафика, кражи данных и слежки. По данным западных специалистов, атака зацепила устройства в 23 странах, а под удар попали тысячи устройств небольшого офисного класса. После раскрытия схемы пользователям массово советовали срочно обновлять прошивки и проверять настройки.

Новый GammaWorm показывает, что ставка делается не только на громкие эксплойты, но и на полузабытые уголки Windows. Альтернативные потоки NTFS существуют много лет, но в руках опытных операторов снова превращаются в удобный карман для скрытого кода. Для защитников это неприятный сигнал. Опасность лежит не в экзотической технологии, а в штатной функции системы, которую почти никто не проверяет каждый день.

Эксперты редакции CISOCLUB уверены, что кейс с GammaWorm перерастает рамки очередного отчёта о шпионской группировке. Подобные кампании выводят на первый план не уязвимости нулевого дня, а недооценённые механики самой ОС, к которым привыкли относиться как к технической экзотике.

Редакция убеждена, что NTFS-потоки и логика автозагрузки должны постоянно находиться в зоне внимания SOC-команд, а не всплывать в обсуждениях лишь после громких инцидентов. Эксперты CISOCLUB также считают, что устаревшие версии WinRAR пора рассматривать как полноценный вектор корпоративных атак, а не бытовое неудобство пользователя.

Мы отмечаем, что без жёсткой политики обновлений и нормального аудита автозапуска подобные операции будут повторяться у других группировок. На наш взгляд, рынок защиты ещё долго будет догонять атакующих, пока заказчики продолжают экономить на базовой гигиене конечных точек.