Cyber Security UP

Alleanza Shock Gamaredon-Turla: Ucraina sotto assedio digitale

Nel panorama della sicurezza informatica, una nuova minaccia si è delineata contro l’Ucraina con la collaborazione tra due noti gruppi di hacker russi: Gamaredon e Turla. Questi gruppi, entrambi collegati al servizio di sicurezza federale russo (FSB), sono stati individuati mentre lavoravano insieme per colpire obiettivi ucraini attraverso l’installazione del backdoor Kazuar, una potente arma di cyber spionaggio.

Secondo recenti analisi di ESET

A febbraio 2025 Gamaredon ha utilizzato i suoi strumenti PteroGraphin e PteroOdd per eseguire il malware Kazuar, sviluppato da Turla, su endpoint in territorio ucraino. Questo rappresenta un chiaro segnale di cooperazione tra i due gruppi, con Gamaredon che fornisce l’accesso iniziale e Turla che implementa il suo sofisticato backdoor per attività di spionaggio e raccolta dati. PteroGraphin, in particolare, è stato impiegato per riavviare Kazuar v3, probabilmente dopo un crash o un mancato avvio automatico, fungendo così da metodo di recupero per Turla.

Le indagini hanno inoltre rilevato che anche nei mesi di aprile e giugno 2025 sono stati utilizzati altri malware della famiglia Gamaredon, come PteroOdd e PteroPaste, per distribuire Kazuar v2. Storicamente, Gamaredon è attivo dal 2013 e si concentra su attacchi contro istituzioni governative ucraine, mentre Turla, noto anche come Snake, opera dal 2004 e si è reso responsabile di violazioni di alto profilo a livello internazionale.

Caratteristiche di Kazuar

Kazuar si distingue per la sua costante evoluzione e per la capacità di sfruttare bot come Amadey per la distribuzione di ulteriori payload. La versione 3 di Kazuar, più recente, introduce nuove modalità di trasporto dati tramite web sockets e Exchange Web Services, aumentando l’efficacia delle attività di esfiltrazione e comando remoto.

Strumenti e tecniche di Gamaredon

I tool di Gamaredon, come PteroGraphin, si basano su PowerShell e sfruttano add-in di Excel e attività pianificate per la persistenza, utilizzando la Telegraph API per il controllo remoto. L’accesso iniziale spesso avviene tramite spear-phishing e file LNK malevoli su supporti rimovibili. La collaborazione tra i gruppi è stata confermata dalla presenza di indicatori Turla su sette macchine ucraine in 18 mesi, quattro delle quali già compromesse da Gamaredon.

Infine, l’analisi dei dati raccolti suggerisce che Gamaredon, non avendo strumenti .NET propri, agisca come veicolo di accesso per Turla, che invece basa Kazuar proprio su .NET, ottimizzando così le attività di raccolta informazioni e mantenendo una presenza persistente e furtiva nei sistemi delle vittime.