ESET Research, Gamaredon ve Turla tehdit grupları arasındaki işbirliği kanıtlarını keşfetti. Her iki grup da Rusya’nın birincil istihbarat ajansı FSB ile bağlantılıdır ve Ukrayna’daki yüksek profilli kuruluşları hedeflemek için birlikte çalışmıştır. Bu saldırılarda Gamaredon, tehlikeye atılan makineler arasında çeşitli araçlar kullanırken, Turla bu sistemlerden birini Gamaredon’un implantları aracılığıyla komutlar vermek için kullandı.
Gamaredon en az 2013’ten beri aktiftir. Çoğunlukla Ukrayna hükümet kurumlarına karşı birçok saldırıdan sorumludur. Snake olarak da bilinen Turla, en az 2004’ten beri aktif olan ve muhtemelen 1990’ların sonlarına kadar uzanan rezil bir siber yüzme grubudur. Esas olarak Avrupa, Orta Asya ve Orta Doğu’da hükümetler ve diplomatik varlıklar gibi yüksek profilli hedeflere odaklanmaktadır. 2008 yılında ABD Savunma Bakanlığı ve 2014’te İsviçre Savunma Şirketi Ruag gibi büyük organizasyonları ihlal ettiği bilinmektedir.
ESET araştırmacısı Matthieu Faou, “Bu yıl boyunca ESET, Ukrayna’daki yedi makinede Turla’yı tespit etti. Gamaredon binlerce makine olmasa da yüzlerce uzmanı tehlikeye attığından, bu sadece Turla’nın sadece belirli makinelerle, muhtemelen son derece hassas zeka içerenlerle ilgilendiğini gösteriyor” diyor.
Özellikle, Şubat 2025’te ESET Research, Turla’nın Kazuar arka kapısının Gamaredon’un Pterographin ve Pteroodd tarafından Ukrayna’daki bir makinede infazını tespit etti. Pterographin, muhtemelen çarptıktan veya otomatik olarak piyasaya sürüldükten sonra Kazuar V3 arka kapısını yeniden başlatmak için kullanıldı. Böylece, pterograf muhtemelen Turla tarafından bir kurtarma yöntemi olarak kullanılmıştır. Bu, ilk kez bu iki grubu teknik göstergelerle birbirine bağlayabilmiştir. Nisan ve Haziran 2025’te ESET, Kazuar V2’nin Pteroodd ve Pteropaste GameRon Tools kullanılarak konuşlandırıldığını tespit etti.
Kazuar V3, ESET’in sadece Turla tarafından kullanıldığına inandığı Kazuar ailesinin en son şubesidir; İlk olarak 2016’da görüldü. Gamaredon tarafından konuşlandırılan diğer kötü amaçlı yazılım Pterolnk, Pterostew ve Pteroeffigy idi.
ESET araştırmacısı Zoltán Rusnák, “Gamaredon, çıkarılabilir sürücüler üzerinde spearphing ve kötü niyetli LNK dosyaları kullandığı biliniyor, bu nedenle bunlardan biri en olası uzlaşma vektörüydü. Her iki grubun FSB ile ayrı ayrı ilişkili olduğuna ve Gamaredon’un Turla’ya başlangıç erişimini sağladığına inanıyoruz” diyor.
Ukrayna Güvenlik Servisi’ne göre, Gamaredon’un FSB’nin karşı istihbarat hizmetinin bir parçası olan Kırım’daki FSB’nin 18 Merkezi (Bilgi Güvenliği Merkezi) memurları tarafından işletildiği düşünülmektedir. Turla’ya gelince, İngiltere’nin Ulusal Siber Güvenlik Merkezi, grubu Rusya’nın ana sinyalleri istihbarat ajansı olan FSB’nin Merkezi 16’ya bağlar.
Örgütsel bir perspektiften bakıldığında, Turla ve Gamaredon ile yaygın olarak ilişkili iki kuruluşun, Soğuk Savaş dönemine kadar uzanabilecek uzun bir bildirilen işbirliği geçmişine sahip olduğunu belirtmek gerekir. 2022’nin Ukrayna’nın tam ölçekli istilası muhtemelen bu yakınsamayı güçlendirdi, ESET verileri son aylarda GameRon ve Turla faaliyetlerinin Ukrayna savunma sektörüne odaklandığını açıkça gösteriyor.