Gamaredon és Turla együttműködés
Az ESET kutatása elsőként dokumentálja, hogy az orosz Gamaredon és Turla kibertámadó csoportok együttműködése már valós incidensekben megjelent Ukrajnában. 2025 februárjában Gamaredon eszköztára, köztük a PteroGraphin nevű downloader indította újra Turla Kazuar backdoort egy kompromittált gépen. Később, április és június folyamán Gamaredon további eszközökkel (PteroOdd, PteroPaste) telepítette Kazuar v2-t. Turla viszont csak olyan gépeken lépett fel aktívan, amelyek különleges értékűnek minősülnek – célja kiválasztott információk gyűjtése, nem tömegfertőzések.
A leírt fertőzési láncokban Gamaredon-komponensek már a behatolás kezdetén dolgoztak, a LNK fájlok, Ptero-downloader eszközök juttatták be a kártékony kódot. Turla ezen felül több Kazuar változatot használ, a v2-t és az újabb, funkciókban gazdagabb v3-at, amely már C#-ban készült, és több hálózati kommunikációs móddal dolgozik (web sockets, Exchange Web Services). A két csoport közti együttműködés arra utal, hogy Gamaredon funkciója kezdeti hozzáférések biztosítása Turla számára, aki aztán kiválasztott eszközökön fejlett kémtevékenységet folytat.
Ez az együttműködés azért különösen jelentős, mert korábban úgy tűnt, ezek különálló szálakon dolgoznak, most azonban technikai mutatók alapján valós együttműködésről van szó. Az APT csoportok stratégiai módon szervezik biztonsági infrastruktúrájukat, és különböző eszközöket kombinálnak annak érdekében, hogy kiemelt értékű célpontokat kompromittáljanak.
