Pero Eset dijo que su hipótesis más probable es que Turla y Gamaredon estaban trabajando juntos. «Dado que ambos grupos son parte de la FSB rusa (aunque en dos centros diferentes), Gamaredon proporcionó acceso a los operadores de Turla para que pudieran emitir comandos en una máquina específica para reiniciar Kazuar y desplegar Kazuar V2 en otros», dijo la compañía.
La publicación del viernes señaló que Gamaredon ha sido visto colaborando con otros grupos de hack anteriormente, específicamente en 2020 con un grupo ESET pistas bajo el nombre Invisimole.
En febrero, dijo ESET, los investigadores de la compañía vieron a cuatro compresiones distintas de Gamaredon-Turla en Ucrania. En todas las máquinas, Gamaredon desplegó una amplia gama de herramientas, incluidas las rastreadas bajo los nombres Pterolnk, Pterostew, Pteroodd, Ptereffigy y Pterographin. Turla, por su parte, instaló la versión 3 de su Kazuar de malware patentado.
El software ESET instalado en uno de los dispositivos comprometidos observó comandos de emisión de Turla a través de los implantes de Gamaredon.
«Pterographin se usó para reiniciar Kazuar, posiblemente después de que Kazuar se estrelló o no se lanzó automáticamente», dijo Eset. «Por lo tanto, Turla usó la pterógrafo como método de recuperación. Esta es la primera vez que hemos podido vincular estos dos grupos a través de indicadores técnicos (ver First Chain: Primera cadena: Reiniciar Kazuar V3). «
Luego, en abril y nuevamente en junio, ESET dijo que detectó los instaladores de Kazuar V2 desplegados por malware Gamaredon. En todos los casos, el software ESET se instaló después de los compromisos, por lo que no fue posible recuperar las cargas útiles. No obstante, la firma dijo que cree que una colaboración activa entre los grupos es la explicación más probable.
«Todos esos elementos, y el hecho de que Gamaredon está comprometiendo cientos, si no miles de máquinas, sugieren que Turla solo está interesado en máquinas específicas, probablemente las que contienen inteligencia altamente sensible», especuló Eset.
