Une coopération technologique inédite entre deux APT russes
Les chercheurs d’ESET Research ont dévoilé la première preuve technique d’une collaboration directe entre deux groupes de cyberespionnage russes, Turla et Gamaredon, tous deux affiliés au FSB. Cette alliance marque une évolution majeure dans les tactiques APT, où le partage d’outils, de frameworks et de code malveillant devient un levier stratégique d’efficacité.
Quand l’architecture Gamaredon relance le code Turla
En février 2025, ESET a observé sur une machine ukrainienne une interaction rare : l’outil PteroGraphin de Gamaredon a relancé la porte dérobée Kazuar v3, propriété de Turla. Ce mécanisme de réactivation suggère une interopérabilité volontaire entre deux codes malveillants distincts.
PteroGraphin, conçu pour exécuter des charges utiles distantes, a ici servi de loader secondaire, gérant la persistance et la récupération du malware Kazuar après un dysfonctionnement.
Des déploiements similaires ont été observés en avril et juin 2025, cette fois avec PteroOdd et PteroPaste, démontrant la réutilisation systématique de composants d’ingénierie Gamaredon par Turla.
Kazuar v3 : la sophistication d’un espion C#
Développé en C#, Kazuar v3 est une évolution avancée d’une famille de backdoors utilisée exclusivement par Turla depuis 2016. Ce malware intègre des modules de communication chiffrée, d’exfiltration sélective et de gestion modulaire des commandes à distance.
Sa structure orientée objet et sa compatibilité .NET lui permettent de s’adapter à différents environnements Windows, renforçant sa furtivité. ESET note que son taux d’infection limité (sept machines en Ukraine) confirme une utilisation ciblée sur des infrastructures critiques.
PteroGraphin et PteroOdd : l’efficacité en masse
À l’opposé, Gamaredon déploie des outils massifs et agiles comme PteroGraphin, PteroStew ou PteroEffigy. Ces programmes exploitent le spearphishing et la diffusion sur supports amovibles via fichiers LNK pour infecter des milliers de machines à faible coût technique.
Cette stratégie à grande échelle sert désormais de passerelle d’accès initial à Turla, selon Zoltán Rusnák, chercheur chez ESET :
« Gamaredon fournit une infrastructure d’infection de masse, tandis que Turla exploite cet accès pour cibler des données de haute valeur. Cette approche modulaire illustre une orchestration technique planifiée sous la supervision du FSB. »
Synergie FSB : du Centre 18 au Centre 16
Selon le Service de sécurité ukrainien (SBU), Gamaredon est rattaché au Centre 18 du FSB, basé en Crimée, alors que Turla relève du Centre 16, dédié au renseignement électromagnétique. Le NCSC britannique confirme cette attribution. Cette architecture duale du FSB, combinant collecte massive (Centre 18) et exploitation ciblée (Centre 16), explique la complémentarité technique observée entre les deux APT.
De la guerre froide à la cyberguerre algorithmique
Les origines de Turla remontent à la fin des années 1990, avec des campagnes ayant touché le ministère américain de la Défense (2008) et RUAG (2014). Gamaredon, actif depuis 2013, cible principalement les entités gouvernementales ukrainiennes.
Depuis l’invasion de 2022, ESET a constaté une accélération de leurs activités : Turla exploite désormais les artefacts de Gamaredon pour insérer ses implants dans les systèmes stratégiques, illustrant une industrialisation de l’espionnage numérique.
Une ingénierie cyber de nouvelle génération
Cette coopération illustre une tendance technologique majeure : la fusion des infrastructures APT. Au lieu de développer seuls leurs chaînes d’infection, certains groupes alignés exploitent désormais l’interopérabilité de leurs codes.
ESET estime que cette approche “APT-as-a-Service” interne au FSB pourrait devenir un modèle pour les futures opérations de cyberespionnage étatique, combinant agilité de déploiement et sophistication ciblée.
Pour une analyse technique complète de ces interactions, ESET propose son rapport « Collaboration Gamaredon X Turla » sur le site WeLiveSecurity.com.
