Los investigadores de ciberseguridad han descubierto pruebas de que los grupos de hackers rusos Gamaredon y Turla están colaborando para atacar y comprometer conjuntamente entidades ucranianas.
La empresa eslovaca de ciberseguridad ESET informó que observó las herramientas PteroGraphin y PteroOdd de Gamaredon siendo utilizadas para ejecutar la puerta trasera Kazuar de Turla en un endpoint en Ucrania en febrero de 2025, lo que indica que Turla probablemente está colaborando activamente con Gamaredon para obtener acceso a máquinas específicas en Ucrania y entregar la puerta trasera Kazuar.
PteroGraphin se usó para reiniciar la puerta trasera Kazuar v3, posiblemente después de que se bloqueara o no se iniciara automáticamente. Por lo tanto, PteroGraphin probablemente fue utilizado como método de recuperación por Turla.
En un caso separado en abril y junio de 2025, ESET también detectó el despliegue de Kazuar v2 a través de otras dos familias de malware de Gamaredon, rastreadas como PteroOdd y PteroPaste.
Tanto Gamaredon (también conocido como Aqua Blizzard y Armageddon) como Turla (también conocido como Secret Blizzard y Venomous Bear) están vinculados al Servicio Federal de Seguridad (FSB) ruso y son conocidos por sus ataques dirigidos a Ucrania.
ESET afirmó que la invasión a gran escala de Ucrania por parte de Rusia en 2022 probablemente impulsó esta convergencia, con los ataques centrados principalmente en el sector de defensa ucraniano en los últimos meses.
Una de las herramientas principales de Turla es Kazuar, un malware actualizado frecuentemente que anteriormente aprovechaba bots Amadey para desplegar una puerta trasera llamada Tavdig, que luego distribuye la herramienta basada en .NET. Los artefactos tempranos asociados con este malware se han observado desde 2016, según Kaspersky.
En total, se han detectado indicadores relacionados con Turla en siete máquinas en Ucrania en los últimos 18 meses, de las cuales cuatro fueron comprometidas por Gamaredon en enero de 2025. El despliegue de la versión más reciente de Kazuar (Kazuar v3) ocurrió hacia finales de febrero.
La cadena de ataque involucró a Gamaredon desplegando PteroGraphin, que se usó para descargar un descargador de PowerShell llamado PteroOdd que, a su vez, recuperó un payload de Telegraph para ejecutar Kazuar. El payload también está diseñado para recopilar y exfiltrar el nombre del equipo de la víctima y el número de serie del volumen del disco del sistema a un subdominio de Cloudflare Workers, antes de lanzar Kazuar.
ESET reveló que identificó otra muestra de PteroOdd en una máquina diferente en Ucrania en marzo de 2025, en la que también estaba presente Kazuar. El malware es capaz de recopilar una amplia gama de información del sistema, junto con una lista de las versiones de .NET instaladas, y transmitirlas a un dominio externo.
Ahora creemos con alta confianza que ambos grupos, asociados por separado con el FSB, están cooperando y que Gamaredon está proporcionando acceso inicial a Turla.
Acerca del autor
