Grupul Turla, recunoscut pentru complexitatea și sofisticarea sa, este considerat una dintre cele mai avansate amenințări persistente la nivel global. Aceste grupuri, adesea susținute de state-națiune, vizează adversari specifici pe perioade lungi de timp și sunt bine organizate și finanțate. Specialiștii de la diverse firme de securitate sunt de acord că Turla a fost responsabil pentru breșele de securitate din Departamentul Apărării al SUA în 2008 și, mai recent, din Ministerul Afacerilor Externe al Germaniei și armata Franței. De asemenea, grupul este cunoscut pentru lansarea de malware discret pe sisteme Linux și utilizarea legăturilor internet bazate pe satelit pentru a-și menține operațiunile ascunse. Turla efectuează atacuri foarte bine direcționate și menține un profil scăzut.
Pe de altă parte, Gamaredon este un alt APT care desfășoară operațiuni la scară mult mai largă, vizând frecvent organizații din Ucraina. Spre deosebire de Turla, care evită să fie detectat, Gamaredon pare să nu se preocupe de faptul că este detectat și asociat cu guvernul rus. Malware-ul său are ca scop colectarea unei cantități cât mai mari de informații de la ținte într-o perioadă scurtă de timp. Atât Turla cât și Gamaredon sunt considerate a fi unități ale Serviciului Federal de Securitate al Rusiei (FSB), principala agenție de securitate a țării și succesor al KGB-ului sovietic.
Firma de securitate ESET a observat că malware-ul ambelor grupuri a fost instalat împreună sau a funcționat interconectat pe multiple dispozitive în ultimele luni. Cercetătorii companiei sugerează că este posibil ca Turla să fi preluat controlul infrastructurii Gamaredon, într-un mod asemănător cu evenimentul din 2019, când grupul a preluat controlul asupra unei platforme de atac aparținând unui APT concurent care lucra pentru guvernul Iranului. Similar, anul trecut, Turla a preluat infrastructura a două grupuri de hackeri motivați financiar într-o campanie care viza dispozitive conectate la Starlink în Ucraina.
Cu toate acestea, ESET consideră că ipoteza cea mai probabilă este că Turla și Gamaredon au lucrat împreună. „Având în vedere că ambele grupuri fac parte din FSB-ul rusesc (deși în două centre diferite), Gamaredon a oferit acces operatorilor Turla pentru a emite comenzi pe o mașină specifică pentru a reporni Kazuar și pentru a desfășura Kazuar v2 pe altele”, a declarat compania.
Postarea de vineri a menționat că Gamaredon a fost observat colaborând anterior cu alte grupuri de hackeri, în special în 2020 cu un grup pe care ESET îl urmărește sub numele de InvisiMole.
În februarie, cercetătorii ESET au identificat patru compromiteri distincte Gamaredon-Turla în Ucraina. Pe toate dispozitivele, Gamaredon a desfășurat o gamă largă de unelte, inclusiv cele urmărite sub numele de PteroLNK, PteroStew, PteroOdd, PteroEffigy și PteroGraphin. De partea sa, Turla a instalat versiunea 3 a propriului său malware.