Pesquisadores em cibersegurança identificaram evidências de uma colaboração entre dois grupos de hackers russos, Gamaredon e Turla, para atacar e comprometer entidades ucranianas.
A empresa eslovaca de segurança digital ESET observou o uso das ferramentas PteroGraphin e PteroOdd, associadas ao Gamaredon, para executar o backdoor Kazuar, desenvolvido pelo grupo Turla, em um endpoint na Ucrânia em fevereiro de 2025.
Isso indica que Turla provavelmente está trabalhando em conjunto com Gamaredon para obter acesso a máquinas específicas na Ucrânia e implantar o Kazuar.
Segundo o relatório compartilhado com o site The Hacker News, “O PteroGraphin foi utilizado para reiniciar o backdoor Kazuar v3, possivelmente após uma falha ou por não ter sido ativado automaticamente.
Portanto, o PteroGraphin provavelmente funcionou como uma forma de recuperação para o Turla.” Em outra ocasião, entre abril e junho de 2025, a ESET detectou a implantação do Kazuar v2 por meio de duas outras famílias de malware do Gamaredon, chamadas PteroOdd e PteroPaste.
Ambos os grupos — Gamaredon (também conhecidos como Aqua Blizzard e Armageddon) e Turla (Secret Blizzard e Venomous Bear) — são considerados ligados ao Serviço Federal de Segurança da Rússia (FSB).
São reconhecidos por focar ataques principalmente contra alvos ucranianos.
“O Gamaredon está ativo desde pelo menos 2013 e é responsável por numerosos ataques, majoritariamente contra instituições governamentais da Ucrânia”, esclareceu a ESET.
Já o Turla, apelidado de Snake, é um grupo de espionagem cibernética notório, ativo desde pelo menos 2004, com possível histórico que remonta aos anos 1990.
Seus alvos principais são organizações de alto perfil, como governos e entidades diplomáticas na Europa, Ásia Central e Oriente Médio.
O Turla já invadiu grandes órgãos, incluindo o Departamento de Defesa dos EUA em 2008 e a empresa suíça de defesa RUAG em 2014.
A ESET acredita que a invasão em larga escala da Rússia à Ucrânia, iniciada em 2022, potencializou essa cooperação criminosa, com os recentes ataques focados no setor de defesa ucraniano.
Um dos principais malwares usados pelo Turla é o Kazuar, que recebe atualizações constantes.
Em ataques anteriores, ele foi implantado via bots Amadey, liberando uma backdoor chamada Tavdig, que instala a ferramenta baseada em .NET.
Kaspersky já havia identificado artefatos relacionados ao Kazuar em 2016.
Já PteroGraphin, PteroOdd e PteroPaste fazem parte do arsenal crescente do Gamaredon para entregar payloads adicionais.
O PteroGraphin é um utilitário PowerShell que usa complementos do Microsoft Excel e tarefas agendadas como mecanismo de persistência, além de se comunicar via Telegraph API para controle remoto (C2).
Foi descoberto em agosto de 2024.
A forma exata de acesso inicial utilizada pelo Gamaredon ainda é incerta.
Entretanto, o grupo tem um histórico de utilizar spear-phishing e arquivos LNK maliciosos em drives removíveis, explorando ferramentas como o PteroLNK para propagação.
Ao longo dos últimos 18 meses, indicadores relacionados ao Turla foram detectados em sete máquinas na Ucrânia, sendo que quatro desses sistemas foram comprometidos pelo Gamaredon em janeiro de 2025.
A implantação da versão mais recente do Kazuar (v3) ocorreu no final de fevereiro.
Conforme detalha a ESET, "Kazuar v2 e v3 pertencem à mesma família de malware e compartilham a mesma base de código.
No entanto, Kazuar v3 possui cerca de 35% mais códigos em C# do que Kazuar v2 e adiciona novos métodos de transporte de dados pela rede, como web sockets e Exchange Web Services."
A cadeia de ataque envolveu o Gamaredon implantando o PteroGraphin, que baixava um downloader em PowerShell chamado PteroOdd.
Este, por sua vez, buscava um payload via Telegraph para executar o Kazuar.
Esse payload foi projetado para coletar e exfiltrar o nome do computador e o número serial do volume do disco da vítima para um subdomínio hospedado no Cloudflare Workers, antes de ativar o Kazuar.
Importante destacar que há indícios de que o Gamaredon baixou o Kazuar, já que a backdoor estava presente no sistema desde 11 de fevereiro de 2025.
Para mostrar que isso não se trata de um caso isolado, a ESET identificou outro exemplo de PteroOdd em março de 2025 em uma máquina distinta na Ucrânia, que também abrigava o Kazuar.
Este malware coleciona uma extensa gama de informações do sistema, incluindo as versões do .NET instaladas, e as transmite para um domínio externo ("eset[.]ydns[.]eu").
Observa-se que o conjunto de ferramentas do Gamaredon não inclui malware baseado em .NET, diferente do Kazuar, que é construído nessa plataforma.
Por isso, a ESET acredita com confiança média que a coleta desses dados é destinada ao Turla.
Em meados de abril de 2025, foi detectada uma segunda onda de ataques, onde o PteroOdd liberou outro downloader em PowerShell, chamado PteroEffigy, que contatava o domínio "eset[.]ydns[.]eu" para instalar o Kazuar v2 ("scrss.ps1"), já documentado pela Palo Alto Networks no final de 2023.
Por fim, em 5 e 6 de junho de 2025, a ESET registrou uma terceira sequência de ataques, quando o downloader PowerShell chamado PteroPaste foi usado para baixar e instalar o Kazuar v2 ("ekrn.ps1") a partir do endereço "91[.]231.182[.]187" em duas máquinas na Ucrânia.
O nome "ekrn" possivelmente foi escolhido para disfarçar o malware como "ekrn.exe", um arquivo legítimo associado aos produtos de segurança da ESET.
“Com alta confiança, acreditamos que ambos os grupos — ambos relacionados ao FSB — estão cooperando, com o Gamaredon fornecendo o acesso inicial ao Turla”, afirmaram os pesquisadores da ESET, Matthieu Faou e Zoltán Rusnák.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...