ESET Research: aan Russische FSB gelieerde Gamaredon en Turla werken samen om hooggeplaatste Oekraïense doelwitten aan te vallen

• Voor het eerst heeft ESET waargenomen dat Gamaredons tool PteroGraphin is gebruikt om Turla’s backdoor Kazuar opnieuw te starten op een apparaat in Oekraïne. Recent detecteerde ESET bovendien dat Turla’s backdoor werd uitgerold met behulp van de Gamaredon-tools PteroOdd en PteroPaste.
• ESET Research acht het met hoge mate van zekerheid aannemelijk dat Gamaredon samenwerkt met Turla.
• Beide groepen zijn gelieerd aan de Federale Veiligheidsdienst (FSB), de binnenlandse inlichtingen- en veiligheidsdienst van Rusland.
• Het aantal slachtoffers van Turla is zeer laag in vergelijking met het aantal compromitteringen door Gamaredon, wat erop wijst dat Turla de meest waardevolle systemen selecteert.

Sliedrecht, 19 september 2025 – ESET Research heeft de eerste bekende gevallen van samenwerking tussen Gamaredon en Turla aan het licht gebracht. Beide dreigingsgroepen zijn verbonden met de belangrijkste Russische inlichtingendienst, de FSB, en hebben samen hooggeplaatste doelwitten in Oekraïne aangevallen. Op de getroffen machines heeft Gamaredon een breed scala aan tools ingezet, en op een van die machines kon Turla opdrachten geven via Gamaredon-implantaten. 

“In de loop van dit jaar heeft ESET Turla op zeven apparaten in Oekraïne gedetecteerd. Aangezien Gamaredon honderden, zo niet duizenden computers compromitteert, suggereert dit dat Turla alleen geïnteresseerd is in specifieke computers, waarschijnlijk die met zeer gevoelige inlichtingen”, zegt ESET-onderzoeker Matthieu Faou, die de samenwerking tussen Turla en Gamaredon ontdekte in samenwerking met ESET-onderzoeker Zoltán Rusnák.

Opvallend is dat ESET Research in februari 2025 de uitvoering van Turla’s Kazuar-backdoor door Gamaredon’s PteroGraphin en PteroOdd op een apparaat in Oekraïne heeft gedetecteerd. PteroGraphin werd gebruikt om de Kazuar v3-backdoor opnieuw op te starten, mogelijk nadat deze was gecrasht of niet automatisch was gestart. PteroGraphin werd dus waarschijnlijk door Turla gebruikt als herstelmethode. Dit is de eerste keer dat iemand deze twee groepen aan de hand van technische indicatoren met elkaar in verband heeft kunnen brengen. In april en juni 2025 ontdekte ESET dat Kazuar v2 werd ingezet met behulp van Gamaredon-tools PteroOdd en PteroPaste.

Kazuar v3 is de nieuwste tak van de Kazuar-familie, zelf een geavanceerd C#-spionage-implantaat dat volgens ESET uitsluitend door Turla wordt gebruikt; het werd voor het eerst waargenomen in 2016. Andere malware die door Gamaredon werd ingezet, was PteroLNK, PteroStew en PteroEffigy.

“Gamaredon staat bekend om het gebruik van spearphishing en kwaadaardige LNK-bestanden op verwisselbare schijven, dus een van deze was waarschijnlijk de compromisvector. Wij zijn er vrijwel zeker van dat beide groepen, afzonderlijk verbonden met de FSB, samenwerken en dat Gamaredon Turla de eerste toegang verschaft”, aldus Rusnák.

Zoals gezegd; beide maken deel uit van de Russische FSB. Volgens de veiligheidsdienst van Oekraïne wordt Gamaredon vermoedelijk gerund door functionarissen van Centrum 18 van de FSB (ook bekend als het Centrum voor Informatiebeveiliging) op de Krim, dat deel uitmaakt van de contraspionagedienst van de FSB. Wat Turla betreft, schrijft het Britse National Cyber Security Centre de groep toe aan Centrum 16 van de FSB, de belangrijkste signaalinlichtingendienst van Rusland.

Vanuit organisatorisch oogpunt is het vermeldenswaard dat de twee entiteiten die vaak in verband worden gebracht met Turla en Gamaredon een lange geschiedenis van samenwerking hebben, die teruggaat tot het tijdperk van de Koude Oorlog. De grootschalige invasie van Oekraïne in 2022 heeft deze samenwerking waarschijnlijk versterkt, waarbij uit gegevens van ESET duidelijk blijkt dat de activiteiten van Gamaredon en Turla zich de afgelopen maanden hebben gericht op de Oekraïense defensiesector.

Gamaredon is al sinds minstens 2013 actief. Het is verantwoordelijk voor vele aanvallen, voornamelijk tegen Oekraïense overheidsinstellingen. Turla, ook bekend als Snake, is een beruchte cyberspionagegroep die al sinds minstens 2004 actief is, mogelijk zelfs al sinds het einde van de jaren negentig. De groep richt zich voornamelijk op prominente doelwitten, zoals overheden en diplomatieke instanties in Europa, Centraal-Azië en het Midden-Oosten. De groep staat bekend om het hacken van grote organisaties, zoals het Amerikaanse ministerie van Defensie in 2008 en het Zwitserse defensiebedrijf RUAG in 2014.

Voor een meer gedetailleerde analyse en technische uitleg van de interacties tussen Turla en Gamaredon kun je de nieuwste blogpost van ESET Research “Gamaredon X Turla collab” op WeLiveSecurity.com raadplegen.

Volg ESET Research ook op X (voorheen Twitter) en BlueSky voor het laatste nieuws.

 

Over ESET

ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en managed MDR en SOC diensten zijn zeer effectief en gebruiksvriendelijk. ESET’s bekroonde technologie bevat krachtige detectie en respons, ultraveilige encryptie en multifactor authenticatie. Onze managed MDR en-/of SOC diensten bieden 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig research onderzoek en betrouwbare Cyber Threat Intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X.