I ricercatori di ESET, specialista europeo globale nel mercato della cybersecurity, hanno scoperto i primi casi documentati di collaborazione tra Gamaredon e Turla. I due gruppi, entrambi associati al Servizio Federale per la Sicurezza (FSB) russo, hanno condotto attacchi congiunti contro obiettivi di alto profilo in Ucraina. Sui sistemi colpiti, Gamaredon ha installato un’ampia gamma di strumenti, e su uno di questi Turla è riuscita a impartire comandi tramite i payload di Gamaredon.
Come agiscono Gamaredon e Turla
Nel febbraio 2025, ESET Research ha rilevato l’esecuzione della backdoor Kazuar di Turla tramite i tool malevoli PteroGraphin e PteroOdd di Gamaredon su un sistema in Ucraina. PteroGraphin è stato usato per riavviare Kazuar v3, probabilmente dopo un crash o perché la backdoor non si era avviata automaticamente. Questo indica che PteroGraphin sia stato impiegato come metodo di recupero da parte di Turla. È la prima volta che i due gruppi vengono collegati tra loro attraverso indicatori tecnici. Nell’aprile e nel giugno 2025, ESET ha rilevato che Kazuar v2 è stata distribuita con gli strumenti PteroOdd e PteroPaste di Gamaredon.
Kazuar v3 rappresenta l’ultima evoluzione della famiglia Kazuar, un impianto di cyberspionaggio avanzato in C# che, secondo ESET, è utilizzato esclusivamente da Turla e che è stato individuato per la prima volta nel 2016. Tra gli altri malware diffusi da Gamaredon figurano PteroLNK, PteroStew e PteroEffigy.
Entrambi i gruppi fanno capo all’FSB. Secondo il “Servizio di Sicurezza Ucraino”, Gamaredon sarebbe gestito da ufficiali del Center 18 dell’FSB (noto anche come “Centro per la Sicurezza delle Informazioni”) con sede in Crimea, parte del servizio di controspionaggio dell’FSB. Turla, invece, è attribuito dal “National Cyber Security Centre” britannico al Center 16 dell’FSB, principale agenzia russa per le operazioni di signals intelligence.
Una collaborazione cybercriminale che risale dalla Guerra Fredda
Dal punto di vista organizzativo, vale la pena sottolineare che le due entità comunemente associate a Turla e Gamaredon hanno una lunga storia di collaborazione, che risale all’epoca della Guerra Fredda. L’invasione su larga scala dell’Ucraina nel 2022 ha probabilmente rafforzato questa convergenza, con i dati ESET che mostrano chiaramente come le attività dei due gruppi negli ultimi mesi si siano concentrate sul settore della difesa ucraino.
Gamaredon è attivo almeno dal 2013 ed è responsabile di numerosi attacchi, per lo più rivolti a istituzioni governative ucraine. Turla, conosciuto anche come Snake, è un noto gruppo di cyber spionaggio attivo almeno dal 2004, con possibili origini alla fine degli anni ’90. Si concentra principalmente su target di alto profilo, come governi ed entità diplomatiche in Europa, Asia centrale e Medio Oriente. In passato ha compromesso organizzazioni di rilievo, tra cui il Dipartimento della Difesa statunitense nel 2008 e l’azienda svizzera RUAG nel 2014.
I commenti dei ricercatori
“Nel corso di quest’anno, ESET ha individuato Turla su sette sistemi in Ucraina. Poiché Gamaredon compromette centinaia, se non migliaia di obiettivi, questo indica che Turla concentri l’interesse solo su quelli più strategici, probabilmente contenenti informazioni di intelligence particolarmente sensibili”, spiega Matthieu Faou, ricercatore ESET che ha individuato la collaborazione tra Turla e Gamaredon insieme al collega Zoltán Rusnák.
“Gamaredon è noto per l’uso di campagne di spearphishing e file LNK malevoli su dispositivi rimovibili, quindi è verosimile che uno di questi sia stato il punto d’ingresso. Riteniamo con ragionevole certezza che i due gruppi – seppur legati separatamente all’FSB – stiano collaborando, con Gamaredon che garantisce l’accesso iniziale a Turla”, commenta Zoltàn Rusnák.
