ESET 研究團隊發現了 Gamaredon 和 Turla 威脅組織之間存在合作的證據。這兩個組織都與俄羅斯主要情報機構 FSB 有關聯，並被發現聯手攻擊烏克蘭的知名組織。在這些攻擊中，Gamaredon 在受感染的機器上部署了各種工具，而 Turla 則利用其中一個系統透過 Gamaredon 的植入程序發出命令。

Gamaredon Turla 威脅組織

Gamaredon 至少自 2013 年起就一直活躍，發動了多起攻擊，主要針對烏克蘭政府機構。 Turla，又名 Snake，是一個臭名昭著的網路間諜組織，至少自 2004 年起活躍，其活動時間可能可以追溯到 1990 年代末。該組織主要針對歐洲、中亞和中東地區的政府和外交機構等重要目標。其知名成就包括 2008 年入侵美國國防部和 2014 年入侵瑞士國防公司 RUAG 等重要機構。

「今年，ESET 在烏克蘭的七台機器上檢測到了 Turla 的蹤跡。由於 Gamaredon 正在入侵數百甚至數千台機器，這表明 Turla 只對特定機器感興趣，很可能是那些包含高度敏感情報的機器，」ESET 研究員Matthieu Faou表示。

值得注意的是，2025年2月，ESET Research偵測到Gamaredon的PteroGraphin和PteroOdd在烏克蘭的一台機器上執行了Turla的Kazuar後門。 PteroGraphin被用來重啟Kazuar v3後門，可能是在Kazuar v3後門崩潰或未自動啟動之後。因此，PteroGraphin很可能被Turla用作恢復方法。這是首次有人能夠透過技術指標將這兩個組織連結起來。 2025年4月和6月，ESET偵測到Gamaredon的工具PteroOdd和PteroPaste部署了Kazuar v2。

Kazuar v3 是 Kazuar 家族的最新分支，它本身是一種先進的 C# 間諜植入程序，ESET 認為該程序由 Turla 獨家使用；它於 2016 年首次出現。 Gamaredon 部署的其他惡意軟體包括 PteroLNK、PteroStew 和 PteroEffigy。

「Gamaredon 以在可移動驅動器上使用魚叉式網路釣魚和惡意 LNK 檔案而聞名，因此其中一個是最有可能的入侵媒介。我們高度確信，這兩個組織（分別與 FSB 有關）正在合作，並且 Gamaredon 正在提供對 Turla 的初始訪問權限，」ESET 研究員Zoltán Rusnáákolt。

據烏克蘭安全局稱，Gamaredon 疑似由俄羅斯聯邦安全局（FSB）駐克里米亞「18 中心」（即資訊安全中心）的官員運營，該中心隸屬於俄羅斯聯邦安全局的反間諜部門。至於 Turla 事件，英國國家網路安全中心將該組織歸咎於俄羅斯聯邦安全局（FSB）的“16 中心”，後者是俄羅斯的主要信號情報機構。

從組織角度來看，值得注意的是，與 Turla 和 Gamaredon 密切相關的兩個實體有著長期的合作歷史，可以追溯到冷戰時期。 2022 年對烏克蘭的全面入侵可能強化了這種融合，ESET 數據清楚地顯示，Gamaredon 和 Turla 的活動近幾個月來一直集中在烏克蘭國防部門上。