Un’inedita collaborazione tra due gruppi legati ai servizi segreti russi del FSB, che segna una ulteriore evoluzione nel settore degli attacchi sponsorizzati da governi. A segnalarla è ESET, che ha individuato una stretta correlazione tra le attività di due gruppi filorussi: Turla e Gamaredon.

La notizia si colloca in un momento in cui gli attacchi cyber collegati ai conflitti in corso e alle tensioni geopolitiche che attraversano il pianeta segnano una crescita esponenziale, spesso coinvolgendo aziende e infrastrutture critiche dei paesi coinvolti.

Stessa origine, ma stili diversi

I due gruppi, da tempo considerati strettamente legati ai servizi segreti di Mosca, sono attivi da anni, ma hanno sempre operato in maniera indipendente.

Se Turla è una vecchia conoscenza degli esperti di cyber security, che ne hanno analizzato gli attacchi nel corso degli ultimi 25 anni, Gamaredon ha un curriculum più scarno. Il gruppo, storicamente, ha preso di mira principalmente bersagli ucraini ed è stato individuato solo nel 2013.

Il nome del gruppo ha un’origine piuttosto curiosa: si tratta infatti di un termine individuato all’interno del codice di uno dei primi strumenti di spionaggio attribuiti a Gamaredon, che secondo gli analisti non era altro che un errore di battitura del termine “Armageddon”.

Si tratta, però, di un’entità molto diversa da Turla. Quest’ultimo è un gruppo altamente specializzato, che colpisce obiettivi di alto livello attraverso attacchi mirati e prediligendo bersagli che operano all’interno di istituzioni governative o in sedi diplomatiche.

Gamaredon, invece, opera in maniera differente. I suoi attacchi vengono portati attraverso campagne di phishing, o in alcuni casi utilizzando unità di memoria rimovibili che utilizzano una tecnica di attacco basata sull’uso di file LNK malevoli. La loro strategia, però, ricorda quella dei tradizionali gruppi di cyber criminali: puntano infatti a compromettere migliaia di dispositivi attraverso attacchi “a tappeto”.

Le differenze sono dovute al fatto che i due gruppi dipendono da sezioni diverse del FSB. Turla dipende dal direttorato 16, storicamente specializzato in spionaggio ai danni di governi esteri. Gamaredon fa invece riferimento al direttorato 18, che ai tempi dell’Unione Sovietica, si dedicava al controspionaggio.

Secondo gli esperti, avrebbe però mantenuto le competenze sui territori che si sono resi indipendenti al momento del dissolvimento dell’URSS.

Una collaborazione pericolosa

Come spiegano gli esperti di ESET nel loro report, il legame tra Turla e Gamaredon è stato scoperto all’inizio del 2025 attraverso l’analisi di un computer compromesso da Kazuar v3, una backdoor che viene considerata il “marchio di fabbrica” del gruppo Turla.

Dalle analisi dei dispositivi, però, è emersa la presenza di alcuni strumenti (PteroGraphin e PteroOdd) riconducibili a Gamaredon. Un esame più approfondito ha confermato che i malware in questione sono stati utilizzati per eseguire la backdoor Kazuar v3.

Secondo ESET, però, l’installazione della backdoor sarebbe precedente all’attacco portato da Gamaredon. È escluso, quindi, che si tratti di una semplice fornitura di strumenti di attacco. L’ipotesi più accreditata è che, per qualche motivo, Kazuar v3 avesse smesso di funzionare sul dispositivo compromesso e che l’attacco avesse l’obiettivo di riavviare la backdoor.

Qualche mese più tardi, però, i ricercatori di ESET si sono trovati ad affrontare uno scenario diverso. La loro ricostruzione dimostra che l’attacco iniziale portato da Gamaredon era finalizzato a eseguire il download e l’installazione di Kazuar v2, una versione meno complessa della backdoor di Turla.

In pratica, secondo gli autori del report Matthieu Faou e Zoltán Rusnák, i due gruppi lavorerebbero in maniera coordinata: quando Gamaredon riesce a compromettere un dispositivo che può essere d’interesse per i “colleghi” di Turla, fornirebbe loro l’accesso per installare la backdoor.

Quest’ultima, a causa delle sue caratteristiche, è decisamente più difficile da rilevare rispetto ai “rumorosi” malware utilizzati da Gamaredon e ha buone probabilità di passare inosservata anche nel momento in cui la vittima dovesse individuare e rimuovere i software spia più elementari.

La collaborazione tra due gruppi di questo genere è inedita, soprattutto per quanto riguarda lo scenario degli APT russi. I vari gruppi che operano in questo settore, infatti, sono storicamente in competizione e tendono a mantenere le loro operazioni nettamente separate.

Le possibili evoluzioni

Una simile strategia apre a scenari estremamente preoccupanti. Gli attacchi state-sponsored, negli ultimi anni, si sono infatti evoluti e hanno superato la dimensione squisitamente legata allo spionaggio o al furto di informazioni.

Proprio il conflitto tra Russia e Ucraina ne è la dimostrazione: nel corso degli anni precedenti alla guerra “fisica”, Mosca ha più volte portato cyber attacchi di carattere distruttivo (come il celeberrimo NotPetya) che avevano il semplice obiettivo di deteriorare le infrastrutture del nemico. In alcuni casi, come in quello battezzato con il nome di Black Energy, gli attacchi hanno preso di mira specificatamente impianti industriali in settori critici.

Si è sempre trattato, però, di campagne autonome con caratteristiche specifiche e vettori di attacco chiaramente individuabili.

La nuova strategia apre invece alla possibilità che la collaborazione tra diversi gruppi APT possa portare ad attacchi più difficilmente individuabili e dotati di una maggiore efficacia.