ESET: Russische hackersgroepen Gamaredon en Turla werken samen bij aanvallen op Oekraïense doelen
Onderzoekers van ESET melden voor het eerst concrete technische bewijzen te hebben gevonden dat de Russische hackersgroepen Gamaredon en Turla samenwerken bij cyberaanvallen op Oekraïense doelwitten. Beide groepen staan in verband met de Russische Federale Veiligheidsdienst (FSB) en hebben hooggeplaatste instanties in Oekraïne als doelwit.
“In de loop van dit jaar heeft ESET Turla op zeven apparaten in Oekraïne gedetecteerd. Aangezien Gamaredon honderden, zo niet duizenden computers compromitteert, suggereert dit dat Turla alleen geïnteresseerd is in specifieke computers, waarschijnlijk die met zeer gevoelige inlichtingen”, zegt ESET-onderzoeker Matthieu Faou, die de samenwerking tussen Turla en Gamaredon ontdekte in samenwerking met ESET-onderzoeker Zoltán Rusnák.
Diverse tools ingezet
Uit het onderzoek blijkt dat Gamaredon op geïnfecteerde systemen verschillende tools inzette, waaronder PteroGraphin en PteroOdd. Op ten minste één apparaat gaf Turla opdrachten via malware die door Gamaredon was geïnstalleerd. In februari 2025 detecteerde ESET dat Gamaredon’s PteroGraphin werd gebruikt om Turla’s Kazuar v3-backdoor opnieuw te starten, mogelijk omdat deze was gecrasht of niet automatisch opstartte. Dit suggereert dat Turla de tool van Gamaredon gebruikte als herstelmethode. In april en juni 2025 ontdekte ESET bovendien dat Kazuar v2 werd verspreid met behulp van Gamaredon’s PteroOdd en PteroPaste.
Kazuar v3 is de meest recente versie van een geavanceerd spionageprogramma dat volgens ESET uitsluitend door Turla wordt gebruikt. Het werd voor het eerst waargenomen in 2016. Naast Kazuar zette Gamaredon ook andere malware in, zoals PteroLNK, PteroStew en PteroEffigy.
“Gamaredon staat bekend om het gebruik van spearphishing en kwaadaardige LNK-bestanden op verwisselbare schijven, dus een van deze was waarschijnlijk de compromisvector. Wij zijn er vrijwel zeker van dat beide groepen, afzonderlijk verbonden met de FSB, samenwerken en dat Gamaredon Turla de eerste toegang verschaft”, aldus Rusnák.
Banden met FSB
Zowel Gamaredon als Turla worden gelinkt aan de FSB. De Oekraïense veiligheidsdienst vermoedt dat Gamaredon wordt bestuurd door functionarissen van Centrum 18 van de FSB, gevestigd op de Krim, dat valt onder de contraspionage-afdeling van de dienst. Turla wordt door het Britse National Cyber Security Centre gekoppeld aan Centrum 16 van de FSB, de belangrijkste signaalinlichtingendienst van Rusland.
De twee groepen hebben een lange geschiedenis van samenwerking, die teruggaat tot de Koude Oorlog. Sinds de Russisch-Oekraïense oorlog in 2022 lijkt deze samenwerking te zijn geïntensiveerd, met name gericht op de Oekraïense defensiesector, aldus ESET.
Gamaredon is sinds 2013 actief en voert vooral aanvallen uit op Oekraïense overheidsinstellingen. Turla, ook bekend als Snake, is een ervaren cyberspionagegroep die sinds minstens 2004 opereert, mogelijk zelfs sinds de late jaren negentig. De groep richt zich op overheden, diplomatieke instanties en defensieorganisaties in Europa, Centraal-Azië en het Midden-Oosten. Eerder hackte Turla onder meer het Amerikaanse ministerie van Defensie (2008) en het Zwitserse defensiebedrijf RUAG (2014).
ESET benadrukt dat de bevindingen aantonen hoe Russische staatsgerelateerde hackersgroepen hun middelen bundelen in cyberoperaties tegen Oekraïne.
Meer informatie. is hier te vinden.
