Cyber spionaggio russo contro obiettivi in Ucraina
Sui sistemi colpiti, Gamaredon ha installato un’ampia gamma di strumenti, e su uno di questi Turla è riuscita a impartire comandi tramite i payload di Gamaredon.
ESET svela come Gamaredon e Turla, due gruppi legati all’FSB, abbiano unito le loro forze nel cyber spionaggio russo contro target di alto profilo in Ucraina.
Il cyber spionaggio ha colpito ancora. I ricercatori di ESET hanno scoperto i primi casi documentati di collaborazione tra Gamaredon e Turla. I due gruppi, entrambi associati al Servizio Federale per la Sicurezza (FSB) russo, hanno condotto attacchi congiunti contro obiettivi di alto profilo in Ucraina. Sui sistemi colpiti, Gamaredon ha installato un’ampia gamma di strumenti, e su uno di questi Turla è riuscita a impartire comandi tramite i payload di Gamaredon.
“Nel corso di quest’anno, ESET ha individuato Turla su sette sistemi in Ucraina. Poiché Gamaredon compromette centinaia, se non migliaia di obiettivi. Questo indica che Turla concentri l’interesse solo su quelli più strategici, probabilmente contenenti informazioni di intelligence particolarmente sensibili”, spiega Matthieu Faou, ricercatore ESET che ha individuato la collaborazione tra Turla e Gamaredon insieme al collega Zoltán Rusnák.
Gli attacchi di cyber spionaggio
In particolare, nel febbraio 2025, ESET Research ha rilevato l’esecuzione della backdoor Kazuar di Turla tramite i tool malevoli PteroGraphin e PteroOdd di Gamaredon su un sistema in Ucraina. PteroGraphin è stato usato per riavviare Kazuar v3, probabilmente dopo un crash o perché la backdoor non si era avviata automaticamente. Questo indica che hanno impiegato PteroGraphin come metodo di recupero da parte di Turla. È la prima volta che i due gruppi vengono collegati tra loro attraverso indicatori tecnici. Nell’aprile e nel giugno 2025, ESET ha rilevato che Kazuar v2 è stata distribuita con gli strumenti PteroOdd e PteroPaste di Gamaredon.
Kazuar v3 rappresenta l’ultima evoluzione della famiglia Kazuar. Un impianto di cyber spionaggio avanzato in C# che, secondo ESET, è utilizzato esclusivamente da Turla e che hanno individuato per la prima volta nel 2016. Tra gli altri malware diffusi da Gamaredon figurano PteroLNK, PteroStew e PteroEffigy. “Gamaredon è noto per l’uso di campagne di spearphishing e file LNK malevoli su dispositivi rimovibili. Quindi è verosimile che uno di questi sia stato il punto d’ingresso. Riteniamo con ragionevole certezza che i due gruppi – seppur legati separatamente all’FSB – stiano collaborando, con Gamaredon che garantisce l’accesso iniziale a Turla”, commenta Rusnák.
Entrambi i gruppi fanno capo all’FSB. Secondo il “Servizio di Sicurezza Ucraino”, Gamaredon sarebbe gestito da ufficiali del Center 18 dell’FSB (noto anche come “Centro per la Sicurezza delle Informazioni”) con sede in Crimea. Parte del servizio di controspionaggio dell’FSB. Turla, invece, è attribuito dal “National Cyber Security Centre” britannico al Center 16 dell’FSB, principale agenzia russa per le operazioni di signals intelligence.
La collaborazione tra Turla e Gamaredon
Dal punto di vista organizzativo, vale la pena sottolineare che le due entità comunemente associate a Turla e Gamaredon hanno una lunga storia di collaborazione, che risale all’epoca della Guerra Fredda. L’invasione su larga scala dell’Ucraina nel 2022 ha probabilmente rafforzato questa convergenza. Con i dati ESET che mostrano chiaramente come le attività dei due gruppi negli ultimi mesi si siano concentrate sul settore della difesa ucraino.
Gamaredon è attivo almeno dal 2013 ed è responsabile di numerosi attacchi, per lo più rivolti a istituzioni governative ucraine. Turla, conosciuto anche come Snake, è un noto gruppo di cyber spionaggio attivo almeno dal 2004. Con possibili origini alla fine degli anni ’90. Si concentra principalmente su target di alto profilo, come governi ed entità diplomatiche in Europa, Asia centrale e Medio Oriente. In passato ha compromesso organizzazioni di rilievo, tra cui il Dipartimento della Difesa statunitense nel 2008 e l’azienda svizzera RUAG nel 2014.
