عوامل تهدید وابسته به روسیه با نام Gamaredon (با نامهای Armageddon و Shuckworm) به حملات سایبری علیه مأموریت نظامی مستقر در اوکراین مرتبط شناخته شدند.
بر اساس گزارش تیم Symantec Threat Hunter، در این حملات عوامل تهدید نسخهای به روز شده از بدافزار GammaSteel را به کار گرفتند. GammaSteel نوعی ابزار سرقت اطلاعات است که برای استخراج دادهها از شبکه قربانیان طراحی شده است. ناقل آلودگی اولیه مورد استفاده نفوذگران یک درایو قابل جابجایی مخرب بوده است. در این کمپین روشهای مختلفی برای استخراج اطلاعات به کار رفته است، از جمله: استفاده از سرویس write.as جهت انتقال دادهها و به کارگیری ابزار cURL در کنار شبکه Tor به عنوان راهکار پشتیبان برای استخراج دادهها. روشهای عملیاتی این گروه شامل تغییراتی از جمله در جایگزینی اسکریپتهای VBS با ابزارهای مبتنی بر پاورشل، افزایش سطح ابهامات برای پنهانسازی پیلودهای مخرب و استفاده بیشتر از سرویسهای قانونی برای عبور از شناسایی بوده است.
https://www.security.com/threat-intelligence/shuckworm-ukraine-gammasteel
https://thehackernews.com/2025/04/gamaredon-uses-infected-removable.html
