Дослідники з компанії ESET виявили ознаки співпраці двох російських хакерських угруповань — Gamaredon та Turla, які разом атакували українські організації, використовуючи бекдор Kazuar. Це перший задокументований випадок, коли інструменти Gamaredon застосовувалися для запуску та підтримки шкідливого ПЗ Turla.
У лютому 2025 року зафіксовано використання Gamaredon-інструментів PteroGraphin та PteroOdd для запуску Kazuar v3 на українських машинах.
У квітні та червні 2025-го зловмисники знову застосували PteroOdd та PteroPaste, щоб поширити Kazuar v2.
Gamaredon відповідає за початковий доступ (через фішинг та заражені LNK-файли на носіях), тоді як Turla застосовує свій складний шпигунський арсенал.
Kazuar вміє збирати системну інформацію, відправляти її на зовнішні сервери та відкривати бекдор для подальшого контролю.
В Україні з лютого 2025 року виявлено щонайменше сім машин, заражених цим ланцюгом атак, із них чотири були зламані Gamaredon ще у січні.
Gamaredon (також відомий як Aqua Blizzard, Armageddon) діє з 2013 року, атакуючи передусім державні установи України.
Turla (Secret Blizzard, Snake, Venomous Bear) — угруповання ФСБ, активне щонайменше з 2004-го, відоме атаками на урядові структури Європи, США та Близького Сходу (серед жертв — Міноборони США у 2008 році та швейцарська компанія RUAG у 2014-му).
З початку повномасштабного вторгнення Росії в Україну у 2022 році співпраця між цими групами лише посилилася.
Kazuar вперше виявлений у 2016-му, регулярно оновлюється і залишається одним із головних інструментів Turla.
Співпраця Gamaredon і Turla демонструє новий рівень загрози для України: використання простих методів початкового доступу та складних бекдорів створює ефективний ланцюг шпигунства і саботажу. Це свідчить про координацію між структурами ФСБ та посилює виклики для захисників у сфері кібероборони. Українським організаціям потрібні поглиблені заходи моніторингу, багаторівнева сегментація мереж і швидке реагування на підозрілі PowerShell-активності.
