Los investigadores de ciberseguridad han discernido evidencia de dos grupos de piratería rusos Gamaredón y Turla colaborando juntos para apuntar y compresión de entidades ucranianas.
Compañía de ciberseguridad eslovaca ESET dicho Observó que las herramientas de Gamaredon Pterographin y Pteroodd se utilizaron para ejecutar la puerta trasera Kazuar de Turla Group en un punto final en Ucrania en febrero de 2025, lo que indica que Turla es muy probable que esté colaborando activamente con Gamaredón para obtener acceso a máquinas específicas en Ucrania y entregar el Kazuar Backdoor.
«Pterographin se usó para reiniciar la puerta trasera Kazuar V3, posiblemente después de que se estrelló o no se lanzó automáticamente», dijo Eset en un informe compartido con Hacker News. «Por lo tanto, Turla usó la pterógrafo como método de recuperación».
En un caso separado en abril y junio de 2025, ESET dijo que también detectó el despliegue de Kazuar V2 a través de otras dos familias de malware de Gamaredon rastreadas como PTeroodd y Pteropaste.
Se evalúa que tanto Gamaredon (también conocido como Aqua Blizzard como Armageddon) como Turla (también conocido como Secret Blizzard y Venometus Bear) están afiliados al Servicio de Seguridad Federal Rusia (FSB), y están conocido por su ataques dirigido a Ucrania.
«Gamaredon ha estado activo desde al menos 2013. Es responsable de muchos ataques, principalmente contra las instituciones gubernamentales ucranianas», dijo Eset.
«Turla, también conocido como Snake, es un infame grupo de espionaje cibernético que ha estado activo desde al menos 2004, posiblemente extendiéndose de regreso a fines de la década de 1990. Se enfoca principalmente en objetivos de alto perfil, como gobiernos y entidades diplomáticas, en Europa, Asia Central y Medio Oriente. Se conoce por haber incumplimiento de organizaciones importantes como el departamento de Defensa de los Estados Unidos en 2008 y en 2008 y en Asia Swiss, de 2014.
La compañía de ciberseguridad dijo que la invasión a gran escala de Rusia de Ucrania en 2022 probablemente alimentó esta convergencia, con los ataques centrados principalmente en el sector de defensa ucraniano en los últimos meses.
Uno de los implantes básicos de Turla es Kazuarun malware frecuentemente actualizado que ha apalancado AMADEY BOTS para implementar una puerta trasera llamada Tavdig, que luego deja caer la herramienta basada en .NET. Los primeros artefactos asociados con el malware se han visto en la naturaleza desde 2016, por Kaspersky.
Pterographin, Pteroodd y Pteropaste, por otro lado, son parte de un Arsenal en crecimiento de herramientas Desarrollado por Gamaredeon para entregar cargas útiles adicionales. Pterographin es una herramienta PowerShell que utiliza complementos de Microsoft Excel y tareas programadas como un mecanismo de persistencia y utiliza la API Telegraph para el comando y el control (C2). Se descubrió por primera vez en agosto de 2024.
El vector de acceso inicial exacto utilizado por Gamaredon no está claro, pero el grupo tiene un historial de utilizar archivos LNK de phishing y maliciosos en unidades extraíbles utilizando herramientas como Pterolnk para propagación.
En total, se han detectado indicadores relacionados con Turla en siete máquinas en Ucrania en los últimos 18 meses, de los cuales cuatro fueron violados por Gamaredon en enero de 2025. Se dice que el despliegue de la última versión de Kazuar (Kazuar V3) tuvo lugar a fines de febrero.
«Kazuar V2 y V3 son fundamentalmente la misma familia de malware y comparten la misma base de código», dijo Eset. «Kazuar V3 comprende alrededor del 35% más de líneas de C# que Kazuar V2 e introduce métodos adicionales de transporte de red: sobre sockets web y servicios web de intercambio».
La cadena de ataque involucró a Gamaredon desplegando pterographin, que se utilizó para descargar un descargador de PowerShell llamado Peroodd que, a su vez, recuperó una carga útil de Telegraph para ejecutar Kazuar. La carga útil también está diseñada para reunir y exfiltrar el nombre de serie de volumen y el número de volumen de la unidad del sistema de la víctima a un subdominio de trabajadores de CloudFlare, antes de lanzar Kazuar.
Dicho esto, es importante tener en cuenta aquí que hay letreros que sugieren que Gamaredon descargó a Kazuar, ya que se dice que la puerta trasera estuvo presente en el sistema desde el 11 de febrero de 2025.
En una señal de que este no era un fenómeno aislado, ESET reveló que identificaba otra muestra de PTeroodd en una máquina diferente en Ucrania en marzo de 2025, en la que Kazuar también estaba presente. El malware es capaz de cosechar una amplia gama de información del sistema, junto con una lista de versiones .NET instaladas y transmitirlas a un dominio externo («Eset.ydns[.]UE»).
El hecho de que el conjunto de herramientas de Gamaredon carece de cualquier malware .NET y el kazuar de Turla se basa en .NET sugiere que este paso de recopilación de datos probablemente esté destinado a Turla, la compañía evaluada con confianza media.
El segundo conjunto de ataques se detectó a mediados de abril de 2025, cuando PTeroodd se usó para lanzar otro descargador de PowerShell con nombre en código Pteroe ffi gy, que finalmente contactó a los «Eset.ydns[.]Dominio de la UE «para entregar Kazuar V2 («SCRSS.PS1»), que fue documentado por Palo Alto Networks a fines de 2023.
ESET dijo que también detectó una tercera cadena de ataque el 5 y 6 de junio de 2025, observó un descargador de PowerShell denominado Pteropaste que se emplea e instala Kazuar v2 («ekrn.ps1») del dominio «91.231.182[.]187 «En dos máquinas ubicadas en Ucrania. El uso del nombre» EKRN «es posiblemente un intento de los actores de amenaza de disfrazarse de» ekrn.exe «, un binario legítimo asociado con los productos de seguridad de punto final ESET.
«Ahora creemos con gran confianza que ambos grupos, asociados por separado con el FSB, están cooperando y que Gamaredon está proporcionando acceso inicial a Turla», dijeron los investigadores de ESET Matthieu Faou y Zoltán Rusnák.
Fuente