A equipa de investigação da ESET descobriu os primeiros casos conhecidos de colaboração entre o Gamaredon e o Turla. Ambos os grupos de ameaças estão associados ao Serviço Federal de Segurança da Federação Russa (FSB), e atacaram em conjunto alvos de alto perfil na Ucrânia. Nas máquinas afetadas, o Gamaredon implantou uma ampla gama de ferramentas e, numa dessas máquinas, o Turla conseguiu emitir comandos através de implantes Gamaredon.
“Ao longo deste ano, a ESET detetou o Turla em sete máquinas na Ucrânia. Uma vez que o Gamaredon está a comprometer centenas, senão milhares, de máquinas, isto sugere que o Turla está apenas interessado em máquinas específicas, provavelmente aquelas que contêm informações altamente confidenciais”, afirma o investigador da ESET Matthieu Faou, que descobriu a colaboração entre o Turla e o Gamaredon em cooperação com o investigador da ESET Zoltán Rusnák.
Em fevereiro de 2025, a ESET detetou a execução da backdoor Kazuar v3 do Turla pelo PteroGraphin e PteroOdd do Gamaredon numa máquina na Ucrânia. O PteroGraphin foi usado para reiniciar o Kazuar, possivelmente após ter bloqueado ou não ter sido iniciado automaticamente. Assim, o PteroGraphin provavelmente foi utilizado como um método de recuperação pelo Turla. Esta é a primeira vez que alguém conseguiu ligar estes dois grupos através de indicadores técnicos. Em abril e junho de 2025, a ESET detetou que o Kazuar v2 foi implantado usando as ferramentas PteroOdd e PteroPaste do Gamaredon.
O Kazuar v3 é o mais recente ramo da família Kazuar, um implante avançado de espionagem em C# que a ESET acredita ser usado exclusivamente pelo Turla; foi visto pela primeira vez em 2016. Outros malwares implantados pelo Gamaredon foram o PteroLNK, o PteroStew e o PteroEffigy.
“O Gamaredon é conhecido por utilizar spearphishing e ficheiros LNK maliciosos em unidades removíveis, pelo que um destes foi provavelmente o vetor de compromisso. Acreditamos com elevada confiança que ambos os grupos – associados separadamente ao FSB – estão a cooperar e que o Gamaredon está a fornecer acesso inicial ao Turla”, afirma Rusnák.
Como acima mencionado, ambos os grupos fazem parte do FSB. De acordo com o Serviço de Segurança da Ucrânia, acredita-se que o Gamaredon seja operado por oficiais do Centro 18 do FSB (também conhecido como Centro de Segurança da Informação) na Crimeia, que faz parte do serviço de contraespionagem do FSB. Quanto ao Turla, o Centro Nacional de Cibersegurança do Reino Unido atribui o grupo ao Centro 16 do FSB, que é a principal agência de inteligência de sinais da Rússia.
Do ponto de vista organizacional, vale a pena notar que as duas entidades normalmente associadas à Turla e à Gamaredon têm um longo histórico de colaboração, que remonta à era da Guerra Fria. A invasão em grande escala da Ucrânia em 2022 provavelmente reforçou esta convergência, com os dados da ESET mostrando claramente que as atividades do Gamaredon e do Turla se concentraram no setor de defesa ucraniano nos últimos meses.
O Gamaredon está ativo desde pelo menos 2013. É responsável por muitos ataques, principalmente contra instituições governamentais ucranianas. O Turla, também conhecido como Snake, é um grupo de ciberespionagem infame que está ativo desde pelo menos 2004, possivelmente até desde o final da década de 1990. Concentra-se principalmente em alvos de alto perfil, como governos e entidades diplomáticas, na Europa, Ásia Central e Médio Oriente. É conhecido por ter invadido grandes organizações, como o Departamento de Defesa dos Estados Unidos em 2008 e a empresa de defesa suíça RUAG em 2014.
Detalhes técnicos: https://www.welivesecurity.com/en/eset-research/gamaredon-x-turla-collab/
