Cybersecurity-onderzoekers hebben het bewijs onderscheiden van twee Russische hackgroepen Gamaredon en Turla die samenwerken om Oekraïense entiteiten te targeten en te comprimeren.
Slovak Cybersecurity Company ESET zei dat het de Gamaredon Tools Pterographin en Pteroodd observeerde die werden gebruikt om Turla Group’s Kazuar Backdoor uit te voeren op een eindpunt in Oekraïne in februari 2025, wat aangeeft dat Turla zeer waarschijnlijk actief samenwerkt met Gamaredon om toegang te krijgen tot specifieke machines in Ukraïne en de Kazuar Backdoor.
“Pterographin werd gebruikt om de Kazuar V3 -achterdeur opnieuw op te starten, mogelijk nadat deze was neergestort of niet automatisch was gelanceerd,” zei ESET in een rapport dat werd gedeeld met het Hacker News. “Aldus werd pterographin waarschijnlijk als herstelmethode door Turla gebruikt.”
In een afzonderlijk geval in april en juni 2025 zei ESET dat het ook de inzet van Kazuar V2 ontdekte via twee andere Gamaredon -malware -families die werden gevolgd als Pteroodd en Pteropaste.
Zowel Gamaredon (ook bekend als Aqua Blizzard en Armageddon) als Turla (aka Secret Blizzard en Venomous Bear) worden beoordeeld als aangesloten bij de Russische Federal Security Service (FSB), en staan bekend om hun aanvallen op Oekraïne.
“Gamaredon is sinds minstens 2013 actief. Het is verantwoordelijk voor veel aanvallen, meestal tegen de Oekraïense overheidsinstellingen,” zei Eset.
“Turla, also known as Snake, is an infamous cyber espionage group that has been active since at least 2004, possibly extending back into the late 1990s. It mainly focuses on high-profile targets, such as governments and diplomatic entities, in Europe, Central Asia, and the Middle East. It is known for having breached major organizations such as the US Department of Defense in 2008 and the Swiss defense company RUAG in 2014.”
Het Cybersecurity Company zei dat de volledige invasie van Rusland in 2022 deze convergentie waarschijnlijk heeft aangewakkerd, waarbij de aanvallen de afgelopen maanden vooral op de Oekraïense defensiesector waren gericht.
Een van de basisimplantaten van Turla is Kazuar, een vaak bijgewerkte malware die Amadey Bots eerder heeft benut om een achterdeur genaamd Tavdig te implementeren, die vervolgens het .NET-gebaseerde tool laat vallen. Vroege artefacten geassocieerd met de malware zijn al in 2016 in het wild gespot in het wild, per Kaspersky.
Pterographin, Pteroodd en Pteropaste maken daarentegen deel uit van een groeiend arsenaal aan tools die door Gamearedon zijn ontwikkeld om extra payloads te leveren. Pterographin is een PowerShell-tool die Microsoft Excel-add-ins en geplande taken gebruikt als een persistentie-mechanisme en de Telegraph API gebruikt voor command-and-control (C2). Het werd voor het eerst ontdekt in augustus 2024.
De exacte initiële toegangsvector die door Gamaredon wordt gebruikt, is niet duidelijk, maar de groep heeft een geschiedenis van het gebruik van speer-phishing en kwaadaardige LNK-bestanden op verwijderbare schijven met behulp van tools zoals Pterolnk voor propagatie.
In totaal zijn de turla-gerelateerde indicatoren gedetecteerd op zeven machines in Oekraïne in de afgelopen 18 maanden, waarvan er vier in januari 2025 door Gamaredon werden geschonden. De inzet van de nieuwste versie van Kazuar (Kazuar V3) zou tegen eind februari hebben plaatsgevonden.
“Kazuar V2 en V3 zijn fundamenteel dezelfde malwarefamilie en delen dezelfde codebase,” zei Eset. “Kazuar V3 omvat ongeveer 35% meer C# lijnen dan Kazuar V2 en introduceert extra netwerktransportmethoden: via web sockets en uitwisselingswebservices.”
De aanvalsketen omvatte Gamaredon die pterographin implementeerde, die werd gebruikt om een PowerShell -downloader te downloaden, genaamd Pteroodd die op zijn beurt een laadload van telegraaf haalde om Kazuar uit te voeren. De payload is ook ontworpen om de computernaam van het slachtoffer en het volume-serienummer van het slachtoffer te verzamelen en te exfiltreren naar een Sub-domein van de CloudFlare Workers, voordat het Kazuar wordt gelanceerd.
Dat gezegd hebbende, het is belangrijk om hier op te merken dat er tekenen zijn die suggereren dat Gamaredon Kazuar heeft gedownload, omdat de achterdeur sinds 11 februari 2025 op het systeem aanwezig is.
In een teken dat dit geen geïsoleerd fenomeen was, onthulde ESET dat het in maart 2025 een ander pteroodd -monster op een andere machine in Oekraïne identificeerde, waarop ook Kazuar aanwezig was. De malware is in staat om een breed scala aan systeeminformatie te oogsten, samen met een lijst met geïnstalleerde .NET -versies, en ze naar een extern domein te verzenden (“Eset.ydns (.) EU”).
Het feit dat de toolset van Gamaredon geen .NET -malware mist en Turla’s Kazuar is gevestigd in .NET suggereert dat deze stap voor het verzamelen van gegevens waarschijnlijk bedoeld is voor Turla, het bedrijf beoordeeld met medium vertrouwen.
De tweede set aanvallen werd gedetecteerd medio april 2025, toen Pteroodd werd gebruikt om een andere PowerShell-downloadercodeaam te laten vallen PTEROE ffiICY, die uiteindelijk contact opnam met de “Eset.ydns (.) EU” -domein om Kazuar V2 (“scrsS.ps1”) te laten vallen, die werd gedocumenteerd door Palo ALTO Networks in het einde van 2023.
ESET zei dat het ook een derde aanvalsketen detecteerde op 5 en 6 juni 2025, het observeerde een PowerShell -downloader die Pteropaste werd aangeduid die werd gebruikt om Kazuar v2 (“Ekrn.ps1”) uit het domein “91.231.182 (.) 187” op twee machines te laten vallen en te installeren in Ukraïne. Het gebruik van de naam “EKRN” is mogelijk een poging van dreigingsactoren om zich te vermomd als “Ekrn.exe”, een legitiem binair getal geassocieerd met ESET -eindpuntbeveiligingsproducten.
“We geloven nu met een hoog vertrouwen dat beide groepen – afzonderlijk geassocieerd met de FSB – samenwerken en dat Gamaredon initiële toegang biedt tot Turla,” zeiden ESET -onderzoekers Matthieu Faou en Zoltán Rusnák.
