Se connecter
Inscription
Mot de passe perdu
ESET Research : Gamaredon et Turla, liés au FSB russe, s'associent pour cibler d’importantes entités ukrainiennes
Publié le 19/09/2025 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
MONTREAL, BRATISLAVA, le 19 septembre 2025 — ESET Research a identifié les premiers cas de collaboration technique entre Gamaredon et Turla. Ces deux groupes malveillants, liés au FSB, ont uni leurs forces pour attaquer des cibles sensibles en Ukraine. Sur les machines compromises, Gamaredon a déployé un large éventail d’outils, permettant à Turla d’exécuter des commandes via des implants de Gamaredon.
« Au cours de l’année, ESET a détecté Turla sur sept machines en Ukraine. Gamaredon en a compromis des centaines, voire des milliers. Cela montre que Turla ne s’intéresse qu’à certaines machines, probablement celles contenant des informations cruciales », explique Matthieu Faou, chercheur d’ESET, qui a découvert cette coopération avec son collègue Zoltán Rusnák.
En février 2025, ESET Research a observé l’utilisation de la backdoor Kazuar de Turla via PteroGraphin et PteroOdd de Gamaredon sur une machine ukrainienne. PteroGraphin a servi à redémarrer Kazuar v3, probablement après un plantage ou un lancement manqué. Il semble avoir été utilisé comme mécanisme de récupération par Turla. C’est la première fois que des indicateurs techniques relient clairement ces deux groupes. En avril et juin 2025, ESET a également constaté le déploiement de Kazuar v2 via PteroOdd et PteroPaste de Gamaredon.
Kazuar v3 est la version la plus récente de cette famille d’implants d’espionnage avancés en C#, utilisée exclusivement par Turla depuis 2016. Parmi les autres maliciels déployés par Gamaredon figuraient PteroLNK, PteroStew et PteroEffigy.
« Gamaredon est connu pour utiliser le spearphishing et les fichiers LNK malveillants sur supports amovibles. L’un d’eux est probablement le vecteur initial de compromission. Nous sommes convaincus que les deux groupes, tous deux liés au FSB, coopèrent, Gamaredon fournissant l’accès initial à Turla », ajoute Rusnák.
Selon le Service de sécurité ukrainien, Gamaredon serait dirigé par des agents du Centre 18 du FSB (également appelé Centre pour la sécurité de l’information) basé en Crimée, relevant du service de contre-espionnage du FSB. Pour Turla, le Centre national de cybersécurité du Royaume-Uni attribue le groupe au Centre 16 du FSB, chargé des transmissions.
D’un point de vue organisationnel, les entités associées à Turla et Gamaredon entretiennent une longue tradition de collaboration, remontant à la guerre froide. L’invasion de l’Ukraine en 2022 a sans doute renforcé cette convergence. Les données d’ESET montrent par ailleurs que, ces derniers mois, leurs activités se sont concentrées sur le secteur ukrainien de la défense.
Actif depuis au moins 2013, Gamaredon est responsable de nombreuses attaques, principalement contre des institutions gouvernementales ukrainiennes. Turla, aussi connu sous le nom de Snake, est un groupe de cyberespionnage tristement célèbre, actif depuis 2004 — voire la fin des années 1990. Il vise des cibles stratégiques : gouvernements et entités diplomatiques en Europe, en Asie centrale et au Moyen-Orient. Turla est notamment connu pour avoir piraté le Département de la Défense US en 2008 et l’entreprise de défense suisse RUAG en 2014.
Pour une analyse plus détaillée et technique des interactions entre Turla et Gamaredon, consultez le dernier blog d'ESET Research “Gamaredon X Turla collab” sur WeLiveSecurity.com. Suivez ESET Research sur Twitter (today known as X), BlueSky, et Mastodon pour rester informé(e) de ses dernières actualités.
A propos d’ESET
ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation faciles. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com ou suivez nos réseaux sociaux, podcasts, blogs et https://www.est.com/be-fr/.
« Au cours de l’année, ESET a détecté Turla sur sept machines en Ukraine. Gamaredon en a compromis des centaines, voire des milliers. Cela montre que Turla ne s’intéresse qu’à certaines machines, probablement celles contenant des informations cruciales », explique Matthieu Faou, chercheur d’ESET, qui a découvert cette coopération avec son collègue Zoltán Rusnák.
En février 2025, ESET Research a observé l’utilisation de la backdoor Kazuar de Turla via PteroGraphin et PteroOdd de Gamaredon sur une machine ukrainienne. PteroGraphin a servi à redémarrer Kazuar v3, probablement après un plantage ou un lancement manqué. Il semble avoir été utilisé comme mécanisme de récupération par Turla. C’est la première fois que des indicateurs techniques relient clairement ces deux groupes. En avril et juin 2025, ESET a également constaté le déploiement de Kazuar v2 via PteroOdd et PteroPaste de Gamaredon.
Kazuar v3 est la version la plus récente de cette famille d’implants d’espionnage avancés en C#, utilisée exclusivement par Turla depuis 2016. Parmi les autres maliciels déployés par Gamaredon figuraient PteroLNK, PteroStew et PteroEffigy.
« Gamaredon est connu pour utiliser le spearphishing et les fichiers LNK malveillants sur supports amovibles. L’un d’eux est probablement le vecteur initial de compromission. Nous sommes convaincus que les deux groupes, tous deux liés au FSB, coopèrent, Gamaredon fournissant l’accès initial à Turla », ajoute Rusnák.
Selon le Service de sécurité ukrainien, Gamaredon serait dirigé par des agents du Centre 18 du FSB (également appelé Centre pour la sécurité de l’information) basé en Crimée, relevant du service de contre-espionnage du FSB. Pour Turla, le Centre national de cybersécurité du Royaume-Uni attribue le groupe au Centre 16 du FSB, chargé des transmissions.
D’un point de vue organisationnel, les entités associées à Turla et Gamaredon entretiennent une longue tradition de collaboration, remontant à la guerre froide. L’invasion de l’Ukraine en 2022 a sans doute renforcé cette convergence. Les données d’ESET montrent par ailleurs que, ces derniers mois, leurs activités se sont concentrées sur le secteur ukrainien de la défense.
Actif depuis au moins 2013, Gamaredon est responsable de nombreuses attaques, principalement contre des institutions gouvernementales ukrainiennes. Turla, aussi connu sous le nom de Snake, est un groupe de cyberespionnage tristement célèbre, actif depuis 2004 — voire la fin des années 1990. Il vise des cibles stratégiques : gouvernements et entités diplomatiques en Europe, en Asie centrale et au Moyen-Orient. Turla est notamment connu pour avoir piraté le Département de la Défense US en 2008 et l’entreprise de défense suisse RUAG en 2014.
Pour une analyse plus détaillée et technique des interactions entre Turla et Gamaredon, consultez le dernier blog d'ESET Research “Gamaredon X Turla collab” sur WeLiveSecurity.com. Suivez ESET Research sur Twitter (today known as X), BlueSky, et Mastodon pour rester informé(e) de ses dernières actualités.
A propos d’ESET
ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation faciles. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com ou suivez nos réseaux sociaux, podcasts, blogs et https://www.est.com/be-fr/.
Liens associés
17/09/2025 @ 17:13:34
Poster un commentaire
Matériel
Microsoft
Intel
Jeux Vidéos
