Recientemente, se han descubierto los primeros casos documentados de colaboración entre los grupos de ciberespionaje Gamaredon y Turla en Ucrania. A través de un análisis exhaustivo de la actividad de ambas organizaciones, se ha identificado un patrón que sugiere una cooperación activa.
En febrero de 2025, se detectó el uso de la herramienta PteroGraphin de Gamaredon para reiniciar el backdoor Kazuar de Turla en un sistema en Ucrania. Este hallazgo fue seguido por la implantación de Kazuar v2 en abril y junio del mismo año, utilizando otros recursos de Gamaredon como PteroOdd y PteroPaste. Estos descubrimientos indican que la colaboración entre Gamaredon y Turla es muy probable, ya que ambas organizaciones están vinculadas a la FSB, la principal agencia de inteligencia y seguridad de Rusia.
Gamaredon, que ha estado activo desde al menos 2013, ha sido responsable de numerosos ataques, principalmente contra instituciones gubernamentales en Ucrania. Por su parte, Turla, conocido por su enfoque en blanco de alto perfil, ha sido acusado de infiltraciones en gobiernos y entidades diplomáticas a nivel mundial desde su actividad inicial en 2004.
El análisis de las víctimas revela que Turla ha tenido un número de objetivos bastante limitado en comparación con las numerosas compromisos de Gamaredon. Esto sugiere que Turla se centra en seleccionar máquinas altamente valiosas para su operación. Además, las herramientas y métodos utilizados por Gamaredon en los compromisos iniciales apuntan a estrategias típicamente empleadas, como la spearphishing y el uso de archivos maliciosos.
Ambos grupos han mostrado un interés particular en el sector de defensa y otras entidades críticas en Ucrania, reflejando así una clara continuación de las tácticas de espionaje y sabotaje en un contexto geopolítico complejamente interrelacionado. El hecho de que ambas organizaciones son parte de la estructura de la FSB pone en evidencia la sinergia en sus operaciones, lo cual podría tener implicaciones serias para la seguridad cibernética en la región. La actividad conjunta de Gamaredon y Turla, especialmente en el contexto de la invasión a gran escala de Ucrania por parte de Rusia, podría representar un aumento de la amenaza tanto para Ucrania como para otras naciones en Europa y más allá.
Fuente: WeLiveSecurity by eSet.
