Un reciente informe de ESET revela que dos grupos de ciberamenazas vinculados al estado ruso, Gamaredon y Turla, han estado coordinando operaciones para atacar activos de defensa de alto valor en Ucrania. Esta colaboración refleja una cultura estratégica más amplia dentro de los servicios de seguridad y defensa nacional de Rusia.

Herramientas compartidas y ataques coordinados

Durante varios ataques observados en febrero de 2025, los investigadores de ESET descubrieron que Turla podía emitir comandos a través de implantes desplegados por Gamaredon. La herramienta de descarga PteroGraphin, tradicionalmente asociada con Gamaredon, se utilizó para reiniciar el malware de puerta trasera Kazuar de Turla, lo que sugiere que servía como método de recuperación en caso de que Kazuar fallara o no se ejecutara automáticamente.

Kazuar recopilaba información sensible del sistema, incluyendo el nombre del equipo, nombre de usuario, procesos en ejecución, versión del sistema operativo y listados de archivos y directorios. Más tarde, en abril y junio de 2025, los instaladores de Kazuar v2 fueron desplegados directamente usando herramientas de Gamaredon, lo que refuerza la evidencia de colaboración entre los grupos.

“Esta es la primera vez que podemos vincular a estos dos grupos mediante indicadores técnicos”, señalaron los investigadores de ESET. Añadieron que la invasión a gran escala de Ucrania en 2022 probablemente reforzó esta convergencia operativa, con la actividad reciente centrada en objetivos del sector de defensa ucraniano.

Diferentes enfoques de ataque

Gamaredon y Turla están vinculados al Servicio Federal de Seguridad de Rusia (FSB), pero operan con estrategias distintas:

• Gamaredon ha comprometido cientos, si no miles, de máquinas desde 2013, apuntando principalmente a instituciones gubernamentales ucranianas.
• Turla, activo al menos desde 2004 (y posiblemente antes), se centra en objetivos altamente sensibles y de alto perfil, como entidades gubernamentales y diplomáticas en Europa, Asia Central y Medio Oriente. Su presencia en Ucrania en los últimos 18 meses se ha limitado a unas pocas máquinas, lo que indica operaciones selectivas.

Ambos grupos se dedican principalmente a la ciberespionaje, con Gamaredon favoreciendo compromisos a gran escala y Turla enfocándose en activos específicos y sensibles.

Implicaciones para la ciberseguridad

La coordinación observada demuestra una escalada en operaciones cibernéticas sofisticadas vinculadas al estado, combinando las fortalezas de varios grupos para maximizar el impacto en sectores estratégicos. Los hallazgos de ESET subrayan la importancia del monitoreo continuo, la inteligencia de amenazas y medidas de ciberseguridad avanzadas para organizaciones que operan en zonas de conflicto geopolítico.

Fuente: https://www.infosecurity-magazine.com/news/russian-state-hackers-collaborate