Experti z ESETu zaznamenali, že nástroj APT skupiny Gamaredon s názvem PteroGraphin útočníci použili k opětovnému spuštění backdooru Kazuar APT skupiny Turla, a to na zařízení na Ukrajině. Nedávno také detekovali, že tento backdoor byl nasazen pomocí nástrojů PteroOdd a PteroPaste, které opět patří skupině Gamaredon.
S vysokou mírou jistoty proto mohou potvrdit, že útočníci ze skupiny Gamaredon spolupracují s útočníky ze skupiny Turla.
Obě skupiny jsou napojeny na Federální službu bezpečnosti (FSB), hlavní domácí zpravodajskou a bezpečnostní agenturu Ruska.
Počet obětí skupiny Turla je ve srovnání s počtem kompromitací skupiny Gamaredon velmi nízký, což naznačuje, že skupina Turla si za své cíle vybírala zařízení, která pro ni měla největší hodnotu.
APT skupiny Gamaredon a Turla společně zaútočily na vysoce postavené cíle na Ukrajině. Na napadených zařízeních nasadili útočníci ze skupiny Gamaredon širokou škálu nástrojů. V jednom případě byli díky nim útočníci ze skupiny Turla schopni vydávat své příkazy.
„V průběhu tohoto roku jsme detekovali aktivity skupiny Turla na sedmi zařízeních na Ukrajině. Vzhledem k tomu, že skupina Gamaredon kompromituje stovky, ne-li tisíce zařízení, se zdá, že útočníci z Turla mají zájem pouze o konkrétní cíle, pravděpodobně ty, které obsahují vysoce citlivé informace,“ říká Robert Šuman, vedoucí pražské výzkumné pobočky společnosti ESET.
V únoru 2025 bezpečnostní experti z ESETu zaznamenali spuštění backdooru Kazuar skupiny Turla prostřednictvím nástrojů PteroGraphin a PteroOdd skupiny Gamaredon, a to na zařízení na Ukrajině. Nástroj PteroGraphin útočníci využili k restartování backdooru Kazuar v3, a to pravděpodobně poté, co došlo k jeho pádu nebo se nespustil automaticky. Útočníci z Turla tedy nástroj PteroGraphin pravděpodobně použili jako metodu obnovy. Poprvé se tak podařilo propojit tyto dvě skupiny na základě technických indikátorů. V dubnu a červnu 2025 pak experti z ESETu zaznamenali, že backdoor Kazuar v2 útočníci nasadili pomocí nástrojů PteroOdd a PteroPaste patřících opět skupině Gamaredon.
Backdoor Kazuar v3 je nejnovější verze škodlivého kódu z malware rodiny Kazuar. Jedná se o pokročilý špionážní malware napsaný v programovacím jazyce C#, který, jak se ESET domnívá, používá výhradně skupina Turla. Poprvé jej kyberbezpečnostní specialisté objevili v roce 2016. Dalším malwarem, který nasadila v rámci zjištěných aktivit skupina Gamaredon, byly nástroje PteroLNK, PteroStew a PteroEffigy.
Obě skupiny jsou podle Esetu součástí ruské FSB. Podle Služby bezpečnosti Ukrajiny provozují skupinu Gamaredon důstojníci 18. centra FSB (známého také jako Centrum informační bezpečnosti) na Krymu, které je součástí kontrarozvědné služby FSB. Pokud jde o skupinu Turla, britské Národní centrum kybernetické bezpečnosti (NCSC) ji spojuje s 16. centrem FSB, což je hlavní ruská agentura signálového zpravodajství.
