Die größten Hackergruppen des Kremls - Turla und Gamaredon - kooperieren bei Cyberangriffen auf die Ukraine
Nach Angaben von ESET-Forschern wurden zwei der aktivsten Hackergruppen Russlands, Turla und Gamaredon, kürzlich bei gemeinsamen Operationen beobachtet, die darauf abzielen, Geräte in der Ukraine zu kompromittieren. Beide Gruppen sind mit dem russischen Federal Security Service (FSB) verbunden, gehören jedoch verschiedenen Zentren an.
Turla ist eine der anspruchsvollsten APT-Gruppen der Welt, bekannt für ihre hochgradig zielgerichteten Angriffe auf hochkarätige Ziele, einschließlich des US-Verteidigungsministeriums (2008), des deutschen Außenministeriums und des französischen Militärs. Sie nutzt schleichende Linux-Malware und sogar tunnelt den Datenverkehr über Satelliteninternetverbindungen, um ihre Aktivitäten zu verschleiern.
Gamaredon hingegen operiert in großem Maßstab und greift häufig ukrainische Organisationen massenhaft an. Ihre Werkzeuge sind weniger anspruchsvoll, sammeln jedoch schnell große Datenmengen. Die Gruppe versteckt ihre Verbindungen zu den russischen Behörden nicht und versucht nicht, die Spuren ihrer Aktivitäten zu verwischen.
Nach Angaben von ESET wurde in den letzten Monaten Malware beider Gruppen gleichzeitig auf mehreren Geräten entdeckt, was auf eine technische Interaktion hinweist. Insbesondere nutzte Turla die Werkzeuge von Gamaredon, um ihre eigene Kazuar-Malware neu zu starten und eine neue Version von Kazuar v2 bereitzustellen. Dies ist das erste Mal, dass es Forschern gelungen ist, die beiden Gruppen technisch zu verbinden.
ESET zieht auch eine alternative Version in Betracht - Turla könnte Gamaredons Infrastruktur abgefangen haben, wie es 2019 mit der iranischen APT-Gruppe geschah. Die Haupthypothese ist jedoch eine gemeinsame Operation, bei der Gamaredon Masseninfektionen bereitstellt und Turla selektiv mit den wertvollsten Zielen arbeitet.
Im Februar, April und Juni 2025 stellte ESET mindestens vier Fälle gemeinsamer Infektionen fest. Gamaredon verwendete das Toolkit PteroLNK, PteroStew, PteroOdd, PteroEffigy und PteroGraphin, während Turla Kazuar v3 einsetzte. In allen Fällen wurde die ESET-Software nach der Infektion installiert, sodass es nicht möglich war, die Nutzlast des Turla-Tools zu identifizieren. In einigen Fällen gab Turla Befehle über Gamaredon-Implantate aus, was eine tiefe Integration bestätigt.
Nach Angaben von ESET deutet diese Zusammenarbeit auf eine Koordination zwischen FSB-Einheiten hin, wobei Gamaredon Zugang zu einer großen Anzahl von Maschinen bietet und Turla sich auf solche konzentriert, die besonders sensitive Informationen enthalten.