• ESET ontdekte dat de Gamaredon-tool PteroGraphin werd gebruikt om de Kazuar-backdoor van de Turla-groep opnieuw op te starten op een machine in Oekraïne. Onlangs zag ESET dat de backdoor van Turla was gebruikt met Gamaredon’s tools PteroOdd en PteroPaste.
• ESET Research is ervan overtuigd dat Gamaredon samenwerkt met Turla.
• Beide groepen zijn gelinkt aan de Federale Veiligheidsdienst (FSB), de belangrijkste Russische binnenlandse inlichtingen- en veiligheidsdienst.
MONTREAL, BRATISLAVA, 19 september 2025 — ESET Research heeft de eerste bekende gevallen van samenwerking tussen Gamaredon en Turla ontdekt. Beide groepen zijn gelinkt aan de FSB, de belangrijkste Russische inlichtingendienst, en hebben samen belangrijke doelwitten in Oekraïne aangevallen. Op de getroffen machines zette Gamaredon een breed scala aan tools in, en op één van die machines kon Turla commando’s geven via Gamaredon-implantaten.
“Dit jaar detecteerde ESET Turla op zeven machines in Oekraïne. Daar Gamaredon honderden, zo niet duizenden machines infecteert, suggereert dit dat Turla enkel geïnteresseerd is in specifieke machines, wellicht die met zeer gevoelige informatie”, zegt Matthieu Faou, de ESET-onderzoeker die samen met collega Zoltán Rusnák, de samenwerking tussen Turla en Gamaredon ontdekte.
In februari 2025, ontdekte ESET Research het gebruik van Turla’s Kazuar-backdoor door Gamaredon’s PteroGraphin en PteroOdd op een machine in Oekraïne. PteroGraphin werd gebruikt om de Kazuar v3-backdoor herop te starten, mogelijk nadat deze was gecrasht of niet automatisch was gestart. PteroGraphin werd wellicht door Turla gebruikt als herstelmethode. Dit is de eerste keer dat iemand deze twee groepen aan elkaar kon linken via technische indicatoren. In april en juni 2025 ontdekte ESET dat Kazuar v2 samen met Gamaredon-tools PteroOdd en PteroPaste werd gebruikt.
Kazuar v3 is de nieuwste telg van de Kazuar-familie, zelf een geavanceerde C#-spionage-implantaat, waarvan ESET denkt dat het uitsluitend door Turla wordt gebruikt. Ht werd in 2016 voor het eerst gespot. Andere door Gamaredon gebruikte malware waren PteroLNK, PteroStew en PteroEffigy.
“Gamaredon is gekend voor zijn gebruik van spear-phishing en het plaatsen van kwaadaardige LNK-bestanden op verwisselbare schijven. Een van deze was dus de meest waarschijnlijke besmettingsmanier. We zijn ervan overtuigd dat beide groepen, afzonderlijk aan de FSB gelinkt, samenwerken en dat Gamaredon de eerste toegang tot Turla biedt”, aldus Rusnák.
Volgens de Oekraïense Veiligheidsdienst wordt Gamaredon wellicht beheerd door functionarissen van Centrum 18 van de FSB (ook bekend als het Centrum voor Informatiebeveiliging) op de Krim, dat deel uitmaakt van de contraspionagedienst van de FSB. Wat Turla betreft, linkt het Britse National Cyber Security Centre de groep aan Centrum 16 van de FSB, de belangrijkste Russische inlichtingendienst.
Gamaredon is wellicht al sinds 2013 actief. Het is verantwoordelijk voor talloze aanvallen, vooral op Oekraïense overheidsinstellingen. Turla, ook bekend als Snake, is een beruchte cyberspionagegroep die al actief is sinds 2004, en wellicht al sinds het einde van de jaren negentig. De groep richt zich vooral op belangrijke doelwitten, zoals overheden en diplomatieke instanties in Europa, Centraal-Azië en het Midden-Oosten. Het staat bekend voor zijn infiltraties bij grote organisaties zoals het Amerikaanse Ministerie van Defensie in 2008 en het Zwitserse defensiebedrijf RUAG in 2014.
Een meer gedetailleerde en technische analyse van de interacties tussen Turla en Gamaredon vindt u in de nieuwste blog van ESET Research: “Gamaredon X Turla collab” op WeLiveSecurity.com. Volg ook ESET Research op Twitter (today known as X), BlueSky, en Mastodon voor de nieuwste informatie.
Over ESET
ESET® biedt geavanceerde cybersecurity om aanvallen te voorkomen nog voor deze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET opkomende wereldwijde cyberbedreigingen voor, zowel bekende als onbekende, en beveiligt het bedrijven, kritieke infrastructuur en individuen. Of het nu gaat het om endpoint-, cloud- of mobiele beveiliging, zijn ESET’s AI-native, cloud-first oplossingen en services zeer efficiënt en gebruiksvriendelijk. ESET-technologie omvat robuuste detectie en respons, ultraveilige encryptie en multi-factor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houdt ESET de gebruikers veilig en bedrijven draaiende en dit zonder onderbreking. Het constant veranderende digitale landschap vraagt om een progressieve benadering van de beveiliging. ESET zet zich in met onderzoek van wereldniveau en krachtige threat intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek voor meer informatie of www.eset.com of https://www.est.com/be-nl/,volg onze sociale media, podcasts en blogs.
