Los investigadores de ciberseguridad han descubierto pruebas de dos grupos de hackers rusos Gamaredón y Turla colaborando juntos para atacar y cocomprender a las entidades ucranianas.
La empresa eslovaca de ciberseguridad ESET dijo observó que las herramientas Pterographin y PteroOdd de Gamaredon se utilizaban para ejecutar la puerta trasera Kazuar del grupo Turla en un punto final de Ucrania en febrero de 2025, lo que indica que es muy probable que Turla colabore activamente con Gamaredon para acceder a máquinas específicas en Ucrania y entregar la puerta trasera Kazuar.
«Pterographin se usó para reiniciar la puerta trasera de Kazuar v3, posiblemente después de que se bloqueara o no se lanzara automáticamente», dijo ESET en un informe compartido con The Hacker News. «Por lo tanto, es probable que Turla haya utilizado PteroGraphin como método de recuperación».
En otro caso, en abril y junio de 2025, ESET dijo que también había detectado el despliegue de Kazuar v2 a través de otras dos familias de malware de Gamaredon rastreadas como PteroOdd y PteroPaste.
Se considera que tanto Gamaredon (también conocido como Aqua Blizzard y Armageddon) como Turla (también conocido como Secret Blizzard y Venomous Bear) están afiliados al Servicio Federal de Seguridad (FSB) de Rusia, y son conocido para sus ataques apuntando a Ucrania.
«Gamaredon ha estado activo al menos desde 2013. Es responsable de muchos ataques, principalmente contra instituciones gubernamentales ucranianas», dijo ESET.
«Turla, también conocido como Snake, es un infame grupo de ciberespionaje que ha estado activo al menos desde 2004, y posiblemente se remonta a finales de la década de 1990. Se centra principalmente en objetivos de alto perfil, como gobiernos y entidades diplomáticas, en Europa, Asia Central y Oriente Medio. Es conocido por haber violado importantes organizaciones, como el Departamento de Defensa de los Estados Unidos en 2008 y la empresa de defensa suiza RUAG en 2014».
La empresa de ciberseguridad dijo que la invasión a gran escala de Ucrania por parte de Rusia en 2022 probablemente impulsó esta convergencia, ya que los ataques se centraron principalmente en el sector de defensa ucraniano en los últimos meses.
Uno de los implantes básicos de Turla es Kazuar , un malware que se actualiza con frecuencia y que anteriormente apalancada Amadey lanza bots para implementar una puerta trasera llamada Tavdig, que luego elimina la herramienta basada en .NET. Los primeros artefactos relacionados con el malware se detectaron en estado salvaje ya en 2016, según Kaspersky .
PteroGrapHin, PteroOdd y PteroPaste, por otro lado, son parte de un arsenal creciente de herramientas desarrollado por Gamaredeon para ofrecer cargas útiles adicionales. PteroGraphin es una herramienta de PowerShell que usa complementos de Microsoft Excel y tareas programadas como mecanismo de persistencia y usa la API Telegraph para comando y control (C2). Se descubrió por primera vez en agosto de 2024.
El vector de acceso inicial exacto utilizado por Gamaredon no está claro, pero el grupo tiene un historial de uso de spear-phising y archivos LNK maliciosos en unidades extraíbles utilizando herramientas como PteroLNK para la propagación.
En total, se han detectado indicadores relacionados con Turla en siete máquinas de Ucrania durante los últimos 18 meses, de los cuales Gamaredon infringió cuatro en enero de 2025. Se dice que el despliegue de la última versión de Kazuar (Kazuar v3) tuvo lugar a finales de febrero.
«Kazuar v2 y v3 son fundamentalmente la misma familia de malware y comparten la misma base de código», afirma ESET. «Kazuar v3 contiene alrededor de un 35% más de líneas de C# que Kazuar v2 e introduce métodos de transporte de red adicionales: a través de sockets web y servicios web de Exchange».
La cadena de ataque implicó que Gamaredon desplegara PteroGraphin, que se utilizó para descargar un descargador de PowerShell denominado PteroOdd que, a su vez, recuperaba una carga útil de Telegraph para ejecutar a Kazuar. La carga útil también está diseñada para recopilar el nombre del ordenador de la víctima y el número de serie del volumen de la unidad del sistema y enviarlos a un subdominio de Cloudflare Workers, antes de lanzar Kazuar.
Dicho esto, es importante señalar aquí que hay indicios que sugieren que Gamaredon descargó Kazuar, ya que se dice que la puerta trasera ha estado presente en el sistema desde el 11 de febrero de 2025.
En señal de que no se trataba de un fenómeno aislado, ESET reveló que había identificado otra muestra de PteroOdd en una máquina diferente en Ucrania en marzo de 2025, en la que Kazuar también estaba presente. El malware es capaz de recopilar una amplia gama de información del sistema, junto con una lista de las versiones de .NET instaladas, y transmitirla a un dominio externo («eset.ydns [.] eu»).
El hecho de que el conjunto de herramientas de Gamaredon carezca de malware de.NET y que Kazuar de Turla esté basado en .NET sugiere que este paso de recopilación de datos probablemente esté destinado a Turla, según la evaluación de la empresa con un nivel de confianza medio.
La segunda serie de ataques se detectó a mediados de abril de 2025, cuando se utilizó PteroOdd para lanzar otro programa de descarga de PowerShell con el nombre en código PteroeGY, que finalmente contactó con el dominio «eset.ydns [.] eu» para entregar Kazuar v2 («scrss.ps1"), que Palo Alto Networks documentó a finales de 2023.
ESET dijo que también detectó una tercera cadena de ataques los días 5 y 6 de junio de 2025 y observó que se utilizaba un descargador de PowerShell denominado PteroPaste para colocar e instalar Kazuar v2 («ekrn.ps1") desde el dominio «91.231.182 [.] 187» en dos máquinas ubicadas en Ucrania. Es posible que el uso del nombre «ekrn» sea un intento de los actores de amenazas de hacerse pasar por "ekrn.exe», un binario legítimo asociado a los productos de seguridad para endpoints de ESET.
«Ahora creemos con gran confianza que ambos grupos, asociados por separado al FSB, están cooperando y que Gamaredon está proporcionando el acceso inicial a Turla», dijeron los investigadores de ESET Matthieu Faou y Zoltán Rusnák.