Russische APT-groepen Gamaredon en Turla werken samen tegen prominente Oekraïense doelwitten

Belangrijkste punten uit dit artikel

• In februari 2025 ontdekten we dat Gamaredons tool PteroGraphin werd gebruikt om Turla’s Kazuar-backdoor opnieuw te starten op een apparaat in Oekraïne.
• In april en juni 2025 detecteerden we dat Kazuar v2 werd uitgerold met behulp van de Gamaredon-tools PteroOdd en PteroPaste.
• Op basis hiervan concludeert ESET met hoge mate van zekerheid dat Gamaredon samenwerkt met Turla.
• Het aantal slachtoffers van Turla is zeer laag vergeleken met het aantal compromitteringen door Gamaredon, wat suggereert dat Turla zeer selectief de meest waardevolle systemen kiest.
• Beide groepen zijn gelieerd aan de FSB, de Federale Veiligheidsdienst van Rusland

Profielen van de dreigingsactoren

Gamaredon

Gamaredon is sinds ten minste 2013 actief. De groep is verantwoordelijk voor talrijke aanvallen, vooral tegen Oekraïense overheidsinstellingen, zoals in de loop der tijd is aangetoond in verschillende rapporten van CERT-UA en andere officiële Oekraïense instanties. Gamaredon wordt door de Veiligheidsdienst van Oekraïne (SSU/SBU) toegeschreven aan Centrum 18 (Information Security) van de FSB, opererend vanaf de bezette Krim. ESET ziet daarnaast een mogelijke samenwerking met een door ESET ontdekte dreigingsactor die InvisiMole wordt genoemd.

Turla

Turla, ook bekend als Snake, is een beruchte cyberspionagegroep die sinds ten minste 2004 actief is (mogelijk al eind jaren negentig). De groep wordt verondersteld onderdeel te zijn van de FSB. Turla richt zich vooral op hooggeplaatste doelwitten, zoals overheden en diplomatieke organisaties, in Europa, Centraal-Azië en het Midden-Oosten. Turla is bekend van inbreuken bij onder meer het US Department of Defense (2008) en het Zwitserse defensiebedrijf RUAG (2014). De afgelopen jaren heeft ESET een groot deel van Turla’s arsenaal gedocumenteerd op de WeLiveSecurity-blog en in private rapporten.

Overzicht van de bevindingen

• In februari 2025 zag ESET-telemetrie vier co-compromitteringen in Oekraïne waarbij Gamaredon en Turla tegelijk aanwezig waren.
• Op deze machines zette Gamaredon een breed scala aan tools in, waaronder PteroLNK, PteroStew, PteroOdd, PteroEffigy en PteroGraphin, terwijl Turla alleen Kazuar v3 inzette.
• Op één van die machines kon een payload vastgelegd worden waaruit blijkt dat Turla via Gamaredon-implants commando’s kan uitvoeren.
• PteroGraphin werd gebruikt om Kazuar opnieuw te starten, mogelijk nadat Kazuar was gecrasht of niet automatisch was gestart. PteroGraphin diende dus waarschijnlijk als herstelmethode voor Turla. Dit is de eerste keer dat deze twee groepen via technische indicatoren aan elkaar gekoppeld konden worden.
• Het ESET-endpointproduct werd in alle vier de gevallen ná de compromittering geïnstalleerd, waardoor de initiële toegangsmethode niet met zekerheid is vast te stellen. Gezien Gamaredons achtergrond met spearphishing en kwaadaardige LNK-bestanden op verwisselbare media, is één van die routes het waarschijnlijkst.
• In april en juni 2025 zagen we dat Kazuar v2-installers direct door Gamaredon-tools werden uitgerold. Dit laat zien dat Turla actief samenwerkt met Gamaredon om toegang te krijgen tot specifieke machines in Oekraïne.

Slachtofferanalyse (Victimology)

In de afgelopen 18 maanden detecteerde ESET Turla op zeven machines in Oekraïne. ESET vermoedt dat Gamaredon de eerste vier machines in januari 2025 compromitteerde, terwijl Turla Kazuar v3 in februari 2025 uitrolde. In alle gevallen werd het ESET-endpointproduct pas na beide compromitteringen geïnstalleerd. De laatste Turla-compromittering in Oekraïne vóór deze reeks dateerde van februari 2024.

Al deze elementen, en het feit dat Gamaredon honderden, zo niet duizenden machines compromitteert, suggereren dat Turla alleen geïnteresseerd is in specifieke machines, waarschijnlijk die met zeer gevoelige inlichtingen.

Attributie

Gamaredon

In deze compromitteringen werden PteroLNK, PteroStew en PteroGraphin gedetecteerd, die volgens ESET exclusief bij Gamaredon horen.

Turla

Voor Turla werd het gebruik van Kazuar v2 en Kazuar v3 gedetecteerd, die volgens ESET exclusief aan die groep toebehoren.

Hypothesen over Gamaredon-Turla-samenwerking

Het is niet de eerste keer dat Gamaredon samenwerkt met een aan Rusland-gelieerde dreigingsactor. In 2020 werd gezien dat Gamaredon toegang verschafte aan InvisiMole

Turla staat er daarnaast om bekend infrastructuur van andere dreigingsactoren te kapen om een initiële voet tussen de deur te krijgen in netwerken van doelwitten. De afgelopen jaren zijn meerdere gevallen openbaar gedocumenteerd:

• 2019: Symantec publiceerde een blogpost waaruit bleek dat Turla OilRig-infrastructuur (een aan Iran gelieerde groep) kaapte om een doelwit in het Midden-Oosten te bespioneren.
• 2023: Mandiant publiceerde een blogpost waaruit bleek dat Turla verlopen Andromeda C&C-domeinen opnieuw registreerde om doelwitten in Oekraïne te compromitteren.
• 2024: Microsoft publiceerde twee blogposts waaruit bleek dat Turla de cybercrime-botnet Amadey en infrastructuur van de cyberspionagegroep SideCopy (gelieerd aan Pakistan) kaapte om Kazuar te deployen.

Let op: zowel Gamaredon als Turla maken deel uit van de Russische Federale Veiligheidsdienst (FSB). Er wordt aangenomen dat Gamaredon wordt gerund door officieren van Centrum 18 (ook wel het Centrum voor Informatiebeveiliging) op de Krim, onderdeel van de contraspionagedienst van de FSB. Het Brits NCSC schrijft Turla toe aan Centrum 16 van de FSB, Rusland’s belangrijkste SIGINT-dienst.

Daarom stellen we drie hypothesen voor om onze observaties te verklaren:

1. Zeer waarschijnlijk: Omdat beide groepen deel uitmaken van de FSB (weliswaar van twee verschillende centra), verschafte Gamaredon toegang aan Turla-operators, zodat zij commando’s konden geven op een specifieke machine om Kazuar opnieuw te starten, en Kazuar v2 op andere machines konden uitrollen.
2. Onwaarschijnlijk: Turla compromitteerde Gamaredon-infrastructuur en gebruikte die toegang om de toegang op een machine in Oekraïne te herstellen. Aangezien PteroGraphin een hard-coded token bevat om C&C-pagina’s aan te passen, kan deze mogelijkheid niet volledig worden uitgesloten. Dit impliceert echter dat Turla de volledige Gamaredon-keten kon reproduceren.
3. Onwaarschijnlijk: Gamaredon heeft zelf toegang tot Kazuar en zet het in op zeer specifieke machines. Gezien Gamaredons “noisy” aanpak denken we niet dat de groep zó terughoudend zou zijn om Kazuar op slechts een zeer beperkte set slachtoffers te deployen.

Geopolitieke context

De entiteiten die doorgaans met Turla en Gamaredon worden geassocieerd, kennen een lange geschiedenis van samenwerking die teruggaat tot de Koude Oorlog.

• FSB-Centrum 16 (Turla) geldt als opvolger van de 16e KGB-directie (buitenlandse SIGINT). Het behoud van “16” onderstreept die historische lijn.
• FSB-Centrum 18 (Gamaredon) heeft raakvlakken met de 2e KGB-hoofddirectie (interne veiligheid). Beide organisaties werkten destijds nauw samen (bijv. bij monitoring van buitenlandse ambassades in Rusland).
• Die verwevenheid past bij de Russische strategische cultuur waarin interne veiligheid en nationale defensie in elkaars verlengde liggen. Hoewel Centrum 16 (buitenlandse inlichtingen) en Centrum 18 (contraspionage) formeel verschillende taken hebben, is er missie-overlap, zeker richting (voormalige) Sovjetrepublieken.
• In 2018 observeerde de SBU al een gezamenlijke cyberspionagecampagne (SpiceyHoney) door Centrum 16 en 18.
• De grootschalige invasie van Oekraïne in 2022 heeft deze samenwerking waarschijnlijk versterkt. ESET-data laten zien dat Gamaredon en Turla zich de laatste maanden nadrukkelijk richten op de Oekraïense defensiesector.
• Ondanks interne rivaliteit binnen de Russische inlichtingenwereld lijkt die vooral te spelen tussen diensten, minder binnen dezelfde organisatie. Dat APT-groepen binnen twee FSB-centra samenwerken, is in dat licht niet verrassend.

 

Wil je dieper in de technische details duiken? Lees dan dit artikel.