Des chercheurs en cybersécurité ont découvert des preuves de la collaboration de deux groupes de pirates informatiques russes, Gamaredon et Turla , pour cibler et inclure des entités ukrainiennes.

La société slovaque de cybersécurité ESET a déclaré avoir observé les outils Gamaredon PteroGraphin et PteroOdd utilisés pour exécuter la porte dérobée Kazuar du groupe Turla sur un point de terminaison en Ukraine en février 2025, indiquant que Turla collabore très probablement activement avec Gamaredon pour accéder à des machines spécifiques en Ukraine et livrer la porte dérobée Kazuar.

« PteroGraphin a été utilisé pour redémarrer la porte dérobée Kazuar v3, probablement après un plantage ou un lancement non automatique », a déclaré ESET dans un rapport partagé avec The Hacker News. « Par conséquent, PteroGraphin a probablement été utilisé comme méthode de récupération par Turla. »

Dans un autre cas survenu en avril et juin 2025, ESET a déclaré avoir également détecté le déploiement de Kazuar v2 via deux autres familles de malwares Gamaredon, identifiées comme PteroOdd et PteroPaste.

Gamaredon (alias Aqua Blizzard et Armageddon) et Turla (alias Secret Blizzard et Venomous Bear) sont tous deux considérés comme affiliés au Service fédéral de sécurité russe (FSB) et sont connus pour leurs attaques ciblant l’Ukraine.

« Gamaredon est actif depuis au moins 2013. Il est responsable de nombreuses attaques, principalement contre les institutions gouvernementales ukrainiennes », a déclaré ESET.

Turla, également connu sous le nom de Snake, est un groupe de cyberespionnage tristement célèbre, actif depuis au moins 2004, et peut-être même depuis la fin des années 1990. Il cible principalement des cibles de premier plan, telles que des gouvernements et des entités diplomatiques, en Europe, en Asie centrale et au Moyen-Orient. Il est connu pour avoir piraté des organisations majeures comme le Département de la Défense américain en 2008 et l’entreprise de défense suisse RUAG en 2014.

La société de cybersécurité a déclaré que l’invasion à grande échelle de l’Ukraine par la Russie en 2022 a probablement alimenté cette convergence, les attaques se concentrant principalement sur le secteur de la défense ukrainien ces derniers mois.

L’un des implants phares de Turla est Kazuar , un malware fréquemment mis à jour qui exploitait auparavant les bots Amadey pour déployer une porte dérobée appelée Tavdig, qui installe ensuite l’outil basé sur .NET. Selon Kaspersky , les premiers artefacts associés à ce malware ont été repérés dès 2016.

PteroGraphin, PteroOdd et PteroPaste, quant à eux, font partie d’un arsenal croissant d’ outils développés par Gamaredeon pour fournir des charges utiles supplémentaires. PteroGraphin est un outil PowerShell qui utilise les compléments Microsoft Excel et les tâches planifiées comme mécanisme de persistance, et utilise l’API Telegraph pour le contrôle-commande (C2). Il a été découvert pour la première fois en août 2024.

Le vecteur d’accès initial exact utilisé par Gamaredon n’est pas clair, mais le groupe a l’habitude d’utiliser le spear-phishing et des fichiers LNK malveillants sur des lecteurs amovibles à l’aide d’outils comme PteroLNK pour la propagation.

Au total, des indicateurs liés à Turla ont été détectés sur sept machines en Ukraine au cours des 18 derniers mois, dont quatre ont été piratées par Gamaredon en janvier 2025. Le déploiement de la dernière version de Kazuar (Kazuar v3) aurait eu lieu vers la fin du mois de février.

« Kazuar v2 et v3 appartiennent fondamentalement à la même famille de malwares et partagent la même base de code », a déclaré ESET. « Kazuar v3 comprend environ 35 % de lignes C# de plus que Kazuar v2 et introduit des méthodes de transport réseau supplémentaires : via les sockets Web et les services Web Exchange. »

La chaîne d’attaque impliquait le déploiement de PteroGraphin par Gamaredon, lequel a servi à télécharger un téléchargeur PowerShell appelé PteroOdd, lequel, à son tour, a récupéré une charge utile de Telegraph pour exécuter Kazuar. Cette charge utile est également conçue pour collecter et exfiltrer le nom de l’ordinateur de la victime et le numéro de série du disque système vers un sous-domaine Cloudflare Workers, avant de lancer Kazuar.

Cela dit, il est important de noter ici qu’il existe des signes suggérant que Gamaredon a téléchargé Kazuar, car la porte dérobée serait présente sur le système depuis le 11 février 2025.

Signe qu’il ne s’agit pas d’un phénomène isolé, ESET a révélé avoir identifié un autre échantillon de PteroOdd sur une autre machine en Ukraine en mars 2025, sur laquelle Kazuar était également présent. Le malware est capable de collecter un large éventail d’informations système, ainsi qu’une liste des versions .NET installées, et de les transmettre à un domaine externe (« eset.ydns[.]eu »).

Le fait que la boîte à outils de Gamaredon ne contienne aucun malware .NET et que Kazuar de Turla soit basé sur .NET suggère que cette étape de collecte de données est probablement destinée à Turla, a évalué la société avec une confiance moyenne.

La deuxième série d’attaques a été détectée à la mi-avril 2025, lorsque PteroOdd a été utilisé pour déposer un autre téléchargeur PowerShell nommé PteroEffigy, qui a finalement contacté le domaine « eset.ydns[.]eu » pour livrer Kazuar v2 (« scrss.ps1 »), qui a été documenté par Palo Alto Networks fin 2023.

ESET a également déclaré avoir détecté une troisième chaîne d’attaque les 5 et 6 juin 2025. Un téléchargeur PowerShell appelé PteroPaste a été utilisé pour installer Kazuar v2 (« ekrn.ps1 ») depuis le domaine « 91.231.182[.]187 » sur deux machines situées en Ukraine. L’utilisation du nom « ekrn » pourrait être une tentative de la part d’acteurs malveillants de se faire passer pour « ekrn.exe », un binaire légitime associé aux produits de sécurité des terminaux ESET.

« Nous pensons désormais avec une grande confiance que les deux groupes – associés séparément au FSB – coopèrent et que Gamaredon fournit un accès initial à Turla », ont déclaré Matthieu Faou et Zoltán Rusnák, chercheurs d’ESET.