Los investigadores de ciberseguridad de ESET han revelado un hallazgo preocupante: los grupos de piratería rusos Gamaredon y Turla, ambos vinculados al Servicio Federal de Seguridad de Rusia (FSB), estarían colaborando activamente en operaciones cibernéticas contra Ucrania. Esta cooperación marca un punto de inflexión en el panorama del ciberespionaje, ya que dos actores históricamente separados han combinado sus tácticas para maximizar su impacto en un contexto geopolítico altamente tenso.
Una alianza inesperada: Gamaredon y Turla trabajando juntos
En febrero de 2025, ESET detectó que herramientas desarrolladas por Gamaredon, como PteroGraphin y PteroOdd, se utilizaron para desplegar la puerta trasera Kazuar, un malware sofisticado atribuido a Turla. Según el informe, PteroGraphin fue empleado como método de recuperación para reiniciar Kazuar v3 cuando este no lograba iniciarse de forma automática, lo que refuerza la hipótesis de que ambos grupos colaboran directamente.
En otros incidentes, registrados en abril y junio de 2025, también se observó la ejecución de Kazuar v2 mediante el uso de otras variantes de malware de Gamaredon, como PteroOdd y PteroPaste. Estos hallazgos apuntan a una cadena de ataque conjunta, donde Gamaredon facilita el acceso inicial y Turla aprovecha para desplegar su sofisticado arsenal.
Quiénes son Gamaredon y Turla
-
Gamaredon (Aqua Blizzard / Armageddon): activo desde 2013, se centra en ataques a instituciones gubernamentales ucranianas. Es conocido por su enfoque en spear-phishing, uso de archivos LNK maliciosos y malware diseñado para facilitar accesos iniciales rápidos y persistentes.
-
Turla (Secret Blizzard / Venomous Bear / Snake): con actividad documentada desde principios de los 2000, ha dirigido operaciones de espionaje contra gobiernos y entidades diplomáticas en Europa, Asia Central y Oriente Medio. Es célebre por intrusiones de alto perfil, como el ataque al Departamento de Defensa de EE. UU. en 2008 y la violación de RUAG, empresa suiza de defensa, en 2014.
Ambos grupos son considerados brazos estratégicos del FSB, con roles diferenciados: Gamaredon como vector de acceso y Turla como operador de implantes avanzados.
Kazuar: el malware estrella de Turla
El malware Kazuar es una de las piezas centrales del arsenal de Turla. Este implante de ciberespionaje basado en .NET, identificado por primera vez en 2016, ha sido actualizado constantemente.
-
Kazuar v2: documentado ampliamente, diseñado para exfiltrar información sensible y mantener persistencia en sistemas infectados.
-
Kazuar v3: introdujo mejoras en comunicación, incluyendo transporte a través de WebSockets y Exchange Web Services, además de un aumento del 35% en su código en C# respecto a la versión anterior.
La combinación de Kazuar con las herramientas Ptero de Gamaredon representa una simbiosis operativa que multiplica el alcance y eficacia de los ataques.
Herramientas de Gamaredon: el arsenal Ptero
Gamaredon ha desarrollado múltiples herramientas en los últimos años, entre ellas:
-
PteroGraphin: utiliza PowerShell, complementos de Microsoft Excel y tareas programadas para persistencia. Se comunica con servidores C2 mediante la API de Telegraph.
-
PteroOdd: descargador de PowerShell encargado de recuperar cargas útiles adicionales desde servicios externos.
-
PteroPaste: otra variante de descargador empleada en ataques de junio de 2025.
-
PteroLNK: usada históricamente para propagar archivos maliciosos en unidades extraíbles.
Estas herramientas funcionan como puentes de acceso para que Turla despliegue Kazuar en sistemas previamente comprometidos.
Cronología de la cooperación en 2025
-
Enero: Gamaredon compromete varias máquinas ucranianas, preparando el terreno.
-
Febrero: uso de PteroGraphin para ejecutar Kazuar v3 en un endpoint ucraniano.
-
Marzo: PteroOdd recupera cargas útiles que permiten la ejecución de Kazuar v2.
-
Abril: PteroOdd lanza PteroEffigy, que descarga Kazuar v2 desde un dominio externo disfrazado.
-
Junio: PteroPaste distribuye Kazuar v2 desde una dirección IP maliciosa, imitando un binario legítimo de ESET para evadir detección.
Impacto geopolítico y sectorial
La invasión rusa a gran escala en 2022 intensificó el ciberconflicto en Ucrania. Según ESET, esta cooperación refleja una sinergia estratégica entre grupos del FSB para atacar principalmente al sector de defensa ucraniano y entidades gubernamentales críticas.
La convergencia de Gamaredon y Turla combina velocidad y alcance (Gamaredon) con sofisticación y persistencia (Turla), generando una amenaza híbrida que eleva significativamente el riesgo para Ucrania y sus aliados.
En fin…
El hallazgo de ESET confirma que Gamaredon y Turla están colaborando activamente, compartiendo recursos y capacidades en ataques dirigidos contra Ucrania. Gamaredon actúa como facilitador de acceso inicial, mientras que Turla despliega su implante Kazuar para consolidar operaciones de espionaje de largo plazo.
Esta convergencia evidencia un nuevo nivel de organización dentro del ciberespionaje ruso, con implicaciones directas para la seguridad nacional de Ucrania y para la ciberdefensa internacional.
La lección principal es clara: la cooperación entre grupos APT estatales multiplica el impacto de sus ataques, lo que exige a gobiernos y organizaciones fortalecer su monitoreo, respuesta temprana y cooperación internacional en ciberseguridad.
Fuente: The Hacker News
