Menu








Deux des groupes de hack les plus actifs du Kremlin collaborent, dit Eset

22 septembre 2025 - Technologies
Deux des groupes de hack les plus actifs du Kremlin collaborent, dit Eset



Mais Eset a déclaré que son hypothèse la plus probable est que Turla et Gamaredon travaillaient ensemble. « Étant donné que les deux groupes font partie du FSB russe (bien que dans deux centres différents), Gamaredon a donné accès aux opérateurs de Turla afin qu’ils puissent émettre des commandes sur une machine spécifique pour redémarrer Kazuar et déployer Kazuar V2 sur d’autres », a déclaré la société.

Le post de vendredi a noté que Gamaredon a été vu auparavant collaborant avec d’autres groupes de piratage, en particulier en 2020 avec un groupe ESET Tracks sous le nom d’Invisimole.

En février, a déclaré ESET, des chercheurs de l’entreprise ont repéré quatre co-compromises distinctes de Gamaredon-Turla en Ukraine. Sur toutes les machines, Gamaredon a déployé un large éventail d’outils, y compris ceux suivis sous les noms Pterolnk, Pterostew, Pteroodd, Pteroeffigy et Pterographin. Turla, pour sa part, a installé la version 3 de son logiciel malveillant propriétaire Kazuar.

Le logiciel ESET installé sur l’un des dispositifs compromis observés a observé des commandes de Turla via les implants Gamaredon.

« Pterographin a été utilisé pour redémarrer Kazuar, peut-être après que Kazuar s’est écrasé ou n’a pas été lancé automatiquement », a déclaré Eset. «Ainsi, Pterographin a probablement été utilisé comme méthode de récupération par Turla. C’est la première fois que nous sommes en mesure de relier ces deux groupes via des indicateurs techniques (voir première chaîne: Première chaîne: redémarrer de Kazuar V3). « 

Puis, en avril et de nouveau en juin, Eset a déclaré avoir détecté des installateurs de Kazuar V2 déployés par Gamaredon Malware. Dans tous les cas, le logiciel ESET a été installé après les compromis, il n’était donc pas possible de récupérer les charges utiles. Néanmoins, la firme a déclaré qu’elle pensait qu’une collaboration active entre les groupes est l’explication la plus probable.

« Tous ces éléments et le fait que Gamaredon compromet des centaines, voire des milliers de machines, suggèrent que Turla ne s’intéresse qu’aux machines spécifiques, probablement celles contenant une intelligence très sensible », a spéculé ESET.