Los investigadores de ciberseguridad han discernido evidencia de dos grupos de piratería rusos Gamaredon y Turla que colaboran juntos para apuntar y compresión de entidades ucranianas.
La compañía de ciberseguridad eslovacas, ESET, dijo que observó que las herramientas de Gamaredon Pterographin y Peroodd se utilizan para ejecutar la puerta trasera Kazuar del Peña Turla en un punto final en Ucrania en febrero de 2025, lo que indica que Turla es muy probable que esté colaborando activamente con Gamaredon para acercamiento a máquinas específicas en Ucrania y entregar el Kazuar Backdoor.
«Pterographin se usó para reiniciar la puerta trasera Kazuar V3, posiblemente luego de que se estrelló o no se lanzó automáticamente», dijo Eset en un mensaje compartido con Hacker News. «Por lo tanto, Turla usó la pterógrafo como método de recuperación».
En un caso separado en abril y junio de 2025, ESET dijo que todavía detectó el despliegue de Kazuar V2 a través de otras dos familias de malware de Gamaredon rastreadas como PTeroodd y Pteropaste.
Se evalúa que tanto Gamaredon (todavía conocido como Aqua Blizzard como Armageddon) como Turla (todavía conocido como Secret Blizzard y Venomous Bear) están afiliados al Servicio de Seguridad Federal Rusia (FSB), y son conocidos por sus ataques dirigidos a Ucrania.
«Gamaredon ha estado activo desde al menos 2013. Es responsable de muchos ataques, principalmente contra las instituciones gubernamentales ucranianas», dijo Eset.
«Turla, todavía conocido como Snake, es un infame asociación de espionaje cibernético que ha estado activo desde al menos 2004, posiblemente extendiéndose de regreso a fines de la plazo de 1990. Se enfoca principalmente en objetivos de parada perfil, como gobiernos y entidades diplomáticas, en Europa, Asia Central y Medio Oriente. Se conoce por acontecer incumplimiento de organizaciones importantes como el unidad de Defensa de los Estados Unidos en 2008 y en 2008 y en Asia Swiss, de 2014.
La compañía de ciberseguridad dijo que la invasión a gran escalera de Rusia de Ucrania en 2022 probablemente alimentó esta convergencia, con los ataques centrados principalmente en el sector de defensa ucraniano en los últimos meses.
Uno de los implantes básicos de Turla es Kazuar, un malware frecuentemente actualizado que previamente ha aplicado los bots de Amadey para implementar una puerta trasera emplazamiento Tavdig, que luego deja caer la aparejo basada en .NET. Los primeros artefactos asociados con el malware se han conocido en la naturaleza desde 2016, según Kaspersky.
Perographin, Pteroodd y Pteropaste, por otro banda, son parte de un creciente cantera de herramientas desarrolladas por Gamaredeon para entregar cargas avíos adicionales. Pterographin es una aparejo PowerShell que utiliza complementos de Microsoft Excel y tareas programadas como un mecanismo de persistencia y utiliza la API Telegraph para el comando y el control (C2). Se descubrió por primera vez en agosto de 2024.
El vector de acercamiento original exacto utilizado por Gamaredon no está claro, pero el asociación tiene un historial de utilizar archivos LNK de phishing y maliciosos en unidades extraíbles utilizando herramientas como Pterolnk para propagación.
En total, se han detectado indicadores relacionados con Turla en siete máquinas en Ucrania en los últimos 18 meses, de los cuales cuatro fueron violados por Gamaredon en enero de 2025. Se dice que el despliegue de la última interpretación de Kazuar (Kazuar V3) tuvo motivo a fines de febrero.
«Kazuar V2 y V3 son fundamentalmente la misma comunidad de malware y comparten la misma pulvínulo de código», dijo Eset. «Kazuar V3 comprende en torno a del 35% más de líneas de C# que Kazuar V2 e introduce métodos adicionales de transporte de red: sobre sockets web y servicios web de intercambio».
La condena de ataque involucró a Gamaredon desplegando pterographin, que se utilizó para descargar un descargador de PowerShell llamado Peroodd que, a su vez, recuperó una carga útil de Telegraph para ejecutar Kazuar. La carga útil todavía está diseñada para reunir y exfiltrar el nombre de serie de bulto y el número de bulto de la dispositivo del sistema de la víctima a un subdominio de trabajadores de CloudFlare, ayer de divulgar Kazuar.
Dicho esto, es importante tener en cuenta aquí que hay letreros que sugieren que Gamaredon descargó a Kazuar, ya que se dice que la puerta trasera estuvo presente en el sistema desde el 11 de febrero de 2025.
En una señal de que este no era un aberración ocasional, ESET reveló que identificaba otra muestra de PTeroodd en una máquina diferente en Ucrania en marzo de 2025, en la que Kazuar todavía estaba presente. El malware es capaz de cosechar una amplia serie de información del sistema, contiguo con una nómina de versiones .NET instaladas, y transmitirlas a un dominio foráneo («Eset.ydns (.) Eu»).
El hecho de que el conjunto de herramientas de Gamaredon carece de cualquier malware .NET y el kazuar de Turla se apoyo en .NET sugiere que este paso de compendio de datos probablemente esté destinado a Turla, la compañía evaluada con confianza media.
El segundo conjunto de ataques se detectó a mediados de abril de 2025, cuando PTeroodd se usó para divulgar otro dominio de PowerShell Downloader Codennamed Pteroe ffi Gy, que finalmente contactó al dominio «Eset.ydns (.) UE» para entregar Kazuar V2 («Scrss.ps1»), que fue documentado por Palo Stop Networks a finales de 2023.
Eset dijo que todavía detectó una tercera condena de ataque el 5 y 6 de junio de 2025, observó un descargador de PowerShell denominado Pteropaste que se emplea para soltar e instalar Kazuar V2 («Ekrn.ps1») del dominio «91.231.182 (.) 187» en dos máquinas ubicadas en Ukraine. El uso del nombre «EKRN» es posiblemente un intento de los actores de amenaza de disfrazarse de «ekrn.exe», un binario cierto asociado con los productos de seguridad del punto final ESET.
«Ahora creemos con gran confianza que uno y otro grupos, asociados por separado con el FSB, están cooperando y que Gamaredon está proporcionando acercamiento original a Turla», dijeron los investigadores de ESET Matthieu Faou y Zoltán Rusnák.
