Los investigadores de ciberseguridad han identificado evidencia de que dos grupos de piratería rusos Gamaredon y Turla trabajan juntos para atacar y colaborar con grupos ucranianos.
La compañía de ciberseguridad eslovacas ESET dijo que en febrero de 2025 se observaron las herramientas de Gamaredon Pterographin y Pteroodd, que se utilizan para dirigir la puerta trasera Kazuar del Grupo Turla en puntos finales ucranianos.
«Pterographin se usó para reiniciar la puerta trasera Kazuar V3, posiblemente después de que se estrelló o no se lanzó automáticamente», dijo Eset en un informe compartido con Hacker News. «Por lo tanto, Turla usó la pterógrafo como método de recuperación».
En otro ejemplo en abril y junio de 2025, ESET también dijo que había detectado el despliegue de Kazuar V2 a través de otras dos familias de malware de Gamaredon rastreadas como PTeroodd y Pteropaste.
Gammerderson (también conocido como Aqua Blizzard y Armageddon) y Tara (también conocido como Secret Blizzard y The Toxic Bear) son calificados como asociados con la Oficina de Seguridad de la Federación de Rusia (FSB) y son conocidos por los ataques dirigidos a Ucrania.
«Gummerderson ha estado activo desde al menos 2013. Es el principal responsable de muchos ataques contra las agencias gubernamentales ucranianas», dijo Eset.
«Tara, también conocida como Snake, es un grupo cibernético infame que ha estado activo desde al menos 2004 y se ha extendido a fines de la década de 1990. Se centra principalmente en objetivos bien conocidos como gobiernos y grupos diplomáticos en Europa, Asia Central y Oriente Medio.
La compañía de ciberseguridad dice que es probable que una invasión rusa a gran escala en Ucrania en 2022 impulse esta convergencia, con los ataques centrados principalmente en el sector de defensa de Ucrania en los últimos meses.
Uno de los implantes clásicos de Turla es Kazuar. Este es un malware frecuentemente actualizado que previamente usaba AMadey Bots para implementar una puerta trasera llamada Tavdig. Los primeros artefactos relacionados con el malware se han descubierto en la naturaleza en 2016, por Kaspersky.
Mientras tanto, Pterographin, Pteroodd y Pteropaste son parte del creciente arsenal de herramientas desarrolladas por Gameardeon para proporcionar cargas útiles adicionales. Pterographin es una herramienta PowerShell que utiliza el complemento de Microsoft Excel y las tareas programadas como mecanismos de persistencia y utiliza la API Telegraph para el comando y el control (C2). Se descubrió por primera vez en agosto de 2024.
Los vectores de acceso iniciales exactos utilizados por Gameardon no están claros, pero el grupo tiene un historial de utilizar archivos de phishing y lnk maliciosos en unidades extraíbles utilizando herramientas para propagación como Pterolnk.
En general, en los últimos 18 meses, se han detectado métricas relacionadas con Turla en siete máquinas ucranianas, cuatro de las cuales fueron violadas por Gamaredon en enero de 2025. Se dice que la última versión de Kazuar V3 se lanzó hasta finales de febrero.
«Kazuar V2 y V3 son fundamentalmente la misma familia de malware y comparten la misma base de código», dijo Eset. «Kazuar V3 está compuesto por aproximadamente 35% de líneas C# que Kazuar V2, e introduce métodos adicionales de transporte de red. Le mostraremos el servicio web WebSockets y Exchange».
La cadena de ataque incluyó el despliegue de pterógrafo. Se usó para descargar un descargador de PowerShell llamado PTeroodd y ejecutó Kazuar obteniendo la carga útil de Telegraph. La carga útil está diseñada para recolectar y eliminar el nombre de la computadora de la víctima y el número de serie del volumen de impulso del sistema en el subdominio de los trabajadores de CloudFlare antes de lanzar Kazur.
Dicho esto, es importante tener en cuenta que hay indicios de que Gandan descargó Kazuar, como se ha dicho que los puertas traseras han estado en el sistema desde el 11 de febrero de 2025.
En señales de que este no es un fenómeno aislado, ESET reveló que en marzo de 2025 había identificado otra muestra de PTeroodd en otra máquina en Ucrania, donde también existía kazuar. El malware puede cosechar una amplia gama de información del sistema junto con una lista de versiones .NET instaladas y enviarla a un dominio externo («Eset.ydns (.) Eu»).
El conjunto de herramientas de Gameardon carece de malware .NET, y el hecho de que el kazuar de Turla se basa en .NET sugiere que este paso de recopilación de datos probablemente esté destinado a Turla.
El segundo conjunto de ataques se detectó a mediados de abril de 2025, y Pteroodd dejó caer otro descargador de PowerShell, con el nombre en código Pteroe Efgy. Esto finalmente contactó al dominio «UE» y proporcionó Kazuar V2 («SCRSS.PS1).
ESET también detectó la tercera cadena de ataque el 5 y 6 de junio de 2025, y declaró que un descargador de PowerShell llamado Pteropaste, que se utiliza para soltar e instalar Kazuar V2 («Ekrn.ps1») del dominio «91.231.182 (.) 187» se observó en dos máquinas en dos máquinas ucranianas. El uso del nombre «EKRN» es un intento de un actor de amenaza, se plantea como «ekrn.exe», un binario legal asociado con un producto de seguridad de punto final ESET.
«Creemos que ambos grupos ahora están asociados individualmente con el FSB, trabajando juntos, y que GanGon ofrece acceso temprano a Turla», dijeron los investigadores de ESET Matthieu Faou y Zoltán Rusnák.
Source link
