Los grupos de hackers más grandes del Kremlin - Turla y Gamaredon - cooperan en ciberataques contra Ucrania
Según los investigadores de ESET, recientemente se han observado a dos de los grupos de hackers más activos de Rusia, Turla y Gamaredon, realizando operaciones conjuntas con el objetivo de comprometer dispositivos en Ucrania. Ambos grupos están vinculados al Servicio Federal de Seguridad de Rusia (FSB), aunque pertenecen a diferentes centros.
Turla es uno de los grupos APT más sofisticados del mundo, conocido por sus ataques altamente dirigidos a objetivos de alto perfil, incluyendo el Departamento de Defensa de EE. UU. (2008), el Ministerio de Relaciones Exteriores de Alemania y el ejército francés. Utiliza malware sigiloso en Linux e incluso canaliza el tráfico a través de conexiones de internet satelitales para disfrazar su actividad.
Gamaredon, por otro lado, opera a gran escala, atacando a menudo a organizaciones ucranianas en masa. Sus herramientas son menos sofisticadas, pero recopilan rápidamente grandes cantidades de datos. El grupo no oculta sus lazos con las autoridades rusas y no intenta ocultar las huellas de sus actividades.
Según ESET, en los últimos meses, se ha detectado malware de ambos grupos en varios dispositivos simultáneamente, lo que indica interacción técnica. En particular, Turla utilizó las herramientas de Gamaredon para relanzar su propio malware Kazuar y desplegar una nueva versión de Kazuar v2. Esta es la primera vez que los investigadores han logrado vincular técnicamente a los dos grupos.
ESET también está considerando una versión alternativa: Turla podría haber interceptado la infraestructura de Gamaredon, como lo hizo en 2019 con el grupo APT iraní. Sin embargo, la hipótesis principal es una operación conjunta, donde Gamaredon proporciona infecciones masivas y Turla trabaja selectivamente con los objetivos más valiosos.
En febrero, abril y junio de 2025, ESET registró al menos cuatro casos de infección conjunta. Gamaredon utilizó el kit de herramientas PteroLNK, PteroStew, PteroOdd, PteroEffigy y PteroGraphin, mientras que Turla usó Kazuar v3. En todos los casos, el software de ESET se instaló después de la infección, por lo que no fue posible identificar la carga útil de la herramienta de Turla. En algunos casos, Turla emitió comandos a través de los implantes de Gamaredon, confirmando una profunda integración.
Según ESET, esta cooperación indica coordinación entre las unidades del FSB, siendo Gamaredon quien proporciona acceso a un gran número de máquinas y Turla centrándose en aquellas que contienen información particularmente sensible.
Fuente: arstechnica.com
