• Fait nouveau, l’outil PteroGraphin de Gamaredon a servi à relancer la porte dérobée Kazuar de Turla sur une machine ukrainienne.
• L’analyse d’ESET établit avec très grande certitude une collaboration active entre les deux groupes APT.
• Les deux groupes sont liés au FSB, l’agence russe en charge du renseignement intérieur et de la sécurité nationale.
• Le faible nombre de machines infectés par Turla confirme que seules les cibles à haute valeur stratégique les intéressent.
La-Femme (ESET Research) – ESET Research a révèle la première collaboration documentée entre les groupes Gamaredon et Turla, tous deux affiliés au FSB, principal service de renseignement russe. Cette coopération a ciblé des entités stratégiques en Ukraine. Sur les systèmes compromis, Gamaredon a déployé divers outils malveillants ; sur l’une de ces machines, Turla a pu piloter des implants Gamaredon pour exécuter ses propres commandes.
Selon Matthieu Faou, chercheur chez ESET qui a découvert la collaboration entre les deux groupes APT, « Turla n’a été détecté que sur sept machines en Ukraine cette année, alors que Gamaredon en compromet des centaines, voire des milliers. Cela suggère que Turla cible uniquement des systèmes contenant des informations particulièrement sensibles. »
En février 2025, ESET a observé l’exécution de la porte dérobée Kazuar de Turla via les outils PteroGraphin et PteroOdd de Gamaredon sur une machine ukrainienne. PteroGraphin a servi à relancer Kazuar v3, probablement après un dysfonctionnement ou un échec de lancement automatique, suggérant une utilisation comme mécanisme de récupération par Turla. C’est la première fois que des preuves techniques relient directement ces deux groupes. En avril et juin 2025, Kazuar v2 a également été déployé à l’aide des outils PteroOdd et PteroPaste de Gamaredon.
Kazuar v3 est la dernière évolution de cette famille de malwares d’espionnage C#, utilisée exclusivement par Turla depuis 2016. Parmi les autres outils déployés par Gamaredon figurent PteroLNK, PteroStew et PteroEffigy.
« Gamaredon privilégie le spearphishing et l’utilisation de fichiers LNK malveillants sur supports amovibles, ce qui en fait le vecteur d’infection le plus probable. Nous sommes convaincus que Gamaredon fournit un accès initial à Turla, les deux groupes opérant sous l’égide du FSB », précise Zoltán Rusnák, chercheur chez ESET, également à l’origine de la découverte.
D’après le Service de sécurité ukrainien, Gamaredon serait piloté par le Centre 18 du FSB, basé en Crimée, tandis que Turla est attribué par le NCSC britannique au Centre 16 du FSB, spécialisé dans le renseignement électromagnétique. Historiquement, les entités associées à Turla et Gamaredon collaborent depuis la guerre froide. L’invasion de l’Ukraine en 2022 a renforcé cette synergie, ESET observant une intensification de leurs activités contre le secteur de la défense ukrainien.
Actif depuis au moins 2013, Gamaredon cible principalement les institutions gouvernementales ukrainiennes. Turla, aussi connu sous le nom de Snake, mène des opérations de cyberespionnage depuis la fin des années 1990, visant des gouvernements et des organisations diplomatiques en Europe, Asie centrale et Moyen-Orient. Il est notamment responsable de compromissions majeures, telles que le ministère américain de la Défense (2008) et RUAG (2014).
Pour une analyse technique détaillée des interactions entre Turla et Gamaredon, consultez l’article d’ESET Research « Collaboration Gamaredon X Turla” sur WeLiveSecurity.com.
À propos d’ESET
ESET® entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l’intelligence artificielle et l’expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l’UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d’utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s’adaptant constamment à l’évolution rapide du paysage numérique.
