Los investigadores de ciberseguridad han discernido evidencia de dos grupos de piratería rusos Gamaredon y Turla que colaboran juntos para apuntar y compresión de entidades ucranianas.
La compañía de ciberseguridad eslovacas, ESET, dijo que observó que las herramientas de Gamaredon Pterographin y Peroodd se utilizan para ejecutar la puerta trasera Kazuar del Especie Turla en un punto final en Ucrania en febrero de 2025, lo que indica que Turla es muy probable que esté colaborando activamente con Gamaredon para entrada a máquinas específicas en Ucrania y entregar el Kazuar Backdoor.
“Pterographin se usó para reiniciar la puerta trasera Kazuar V3, posiblemente posteriormente de que se estrelló o no se lanzó automáticamente”, dijo Eset en un mensaje compartido con Hacker News. “Por lo tanto, Turla usó la pterógrafo como método de recuperación”.
En un caso separado en abril y junio de 2025, ESET dijo que asimismo detectó el despliegue de Kazuar V2 a través de otras dos familias de malware de Gamaredon rastreadas como PTeroodd y Pteropaste.
Se evalúa que tanto Gamaredon (asimismo conocido como Aqua Blizzard como Armageddon) como Turla (asimismo conocido como Secret Blizzard y Venomous Bear) están afiliados al Servicio de Seguridad Federal Rusia (FSB), y son conocidos por sus ataques dirigidos a Ucrania.
“Gamaredon ha estado activo desde al menos 2013. Es responsable de muchos ataques, principalmente contra las instituciones gubernamentales ucranianas”, dijo Eset.
“Turla, asimismo conocido como Snake, es un infame reunión de espionaje cibernético que ha estado activo desde al menos 2004, posiblemente extendiéndose de regreso a fines de la decenio de 1990. Se enfoca principalmente en objetivos de detención perfil, como gobiernos y entidades diplomáticas, en Europa, Asia Central y Medio Oriente. Se conoce por acontecer incumplimiento de organizaciones importantes como el sección de Defensa de los Estados Unidos en 2008 y en 2008 y en Asia Swiss, de 2014.
La compañía de ciberseguridad dijo que la invasión a gran escalera de Rusia de Ucrania en 2022 probablemente alimentó esta convergencia, con los ataques centrados principalmente en el sector de defensa ucraniano en los últimos meses.
Uno de los implantes básicos de Turla es Kazuar, un malware frecuentemente actualizado que previamente ha trabajador los bots de Amadey para implementar una puerta trasera indicación Tavdig, que luego deja caer la utensilio basada en .NET. Los primeros artefactos asociados con el malware se han conocido en la naturaleza desde 2016, según Kaspersky.
Perographin, Pteroodd y Pteropaste, por otro banda, son parte de un creciente cúmulo de herramientas desarrolladas por Gamaredeon para entregar cargas avíos adicionales. Pterographin es una utensilio PowerShell que utiliza complementos de Microsoft Excel y tareas programadas como un mecanismo de persistencia y utiliza la API Telegraph para el comando y el control (C2). Se descubrió por primera vez en agosto de 2024.
El vector de entrada original exacto utilizado por Gamaredon no está claro, pero el reunión tiene un historial de utilizar archivos LNK de phishing y maliciosos en unidades extraíbles utilizando herramientas como Pterolnk para propagación.
En total, se han detectado indicadores relacionados con Turla en siete máquinas en Ucrania en los últimos 18 meses, de los cuales cuatro fueron violados por Gamaredon en enero de 2025. Se dice que el despliegue de la última traducción de Kazuar (Kazuar V3) tuvo sitio a fines de febrero.
“Kazuar V2 y V3 son fundamentalmente la misma comunidad de malware y comparten la misma almohadilla de código”, dijo Eset. “Kazuar V3 comprende rodeando del 35% más de líneas de C# que Kazuar V2 e introduce métodos adicionales de transporte de red: sobre sockets web y servicios web de intercambio”.
La sujeción de ataque involucró a Gamaredon desplegando pterographin, que se utilizó para descargar un descargador de PowerShell llamado Peroodd que, a su vez, recuperó una carga útil de Telegraph para ejecutar Kazuar. La carga útil asimismo está diseñada para reunir y exfiltrar el nombre de serie de pandeo y el número de pandeo de la pelotón del sistema de la víctima a un subdominio de trabajadores de CloudFlare, ayer de difundir Kazuar.
Dicho esto, es importante tener en cuenta aquí que hay letreros que sugieren que Gamaredon descargó a Kazuar, ya que se dice que la puerta trasera estuvo presente en el sistema desde el 11 de febrero de 2025.
En una señal de que este no era un aberración marginado, ESET reveló que identificaba otra muestra de PTeroodd en una máquina diferente en Ucrania en marzo de 2025, en la que Kazuar asimismo estaba presente. El malware es capaz de cosechar una amplia serie de información del sistema, pegado con una directorio de versiones .NET instaladas, y transmitirlas a un dominio forastero (“Eset.ydns (.) Eu”).
El hecho de que el conjunto de herramientas de Gamaredon carece de cualquier malware .NET y el kazuar de Turla se friso en .NET sugiere que este paso de sumario de datos probablemente esté destinado a Turla, la compañía evaluada con confianza media.
El segundo conjunto de ataques se detectó a mediados de abril de 2025, cuando PTeroodd se usó para difundir otro dominio de PowerShell Downloader Codennamed Pteroe ffi Gy, que finalmente contactó al dominio “Eset.ydns (.) UE” para entregar Kazuar V2 (“Scrss.ps1”), que fue documentado por Palo Parada Networks a finales de 2023.
Eset dijo que asimismo detectó una tercera sujeción de ataque el 5 y 6 de junio de 2025, observó un descargador de PowerShell denominado Pteropaste que se emplea para soltar e instalar Kazuar V2 (“Ekrn.ps1”) del dominio “91.231.182 (.) 187” en dos máquinas ubicadas en Ukraine. El uso del nombre “EKRN” es posiblemente un intento de los actores de amenaza de disfrazarse de “ekrn.exe”, un binario lícito asociado con los productos de seguridad del punto final ESET.
“Ahora creemos con gran confianza que entreambos grupos, asociados por separado con el FSB, están cooperando y que Gamaredon está proporcionando entrada original a Turla”, dijeron los investigadores de ESET Matthieu Faou y Zoltán Rusnák.
