vendredi, juillet 3, 2026
33.5 C
Tunisie

Cyberguerre : ESET révèle une alliance technologique entre Turla et Gamaredon, deux groupes russes du FSB

ESET Research a identifié une collaboration sans précédent entre les groupes APT russes Turla et Gamaredon. Cette alliance technologique a permis à Turla d’exploiter les outils PteroGraphin et PteroOdd pour relancer sa backdoor Kazuar, marquant une nouvelle ère du cyberespionnage coordonné.

Une coopération technologique inédite entre deux APT russes

Les chercheurs d’ESET Research ont dévoilé la première preuve technique d’une collaboration directe entre deux groupes de cyberespionnage russes, Turla et Gamaredon, tous deux affiliés au FSB. Cette alliance marque une évolution majeure dans les tactiques APT, où le partage d’outils, de frameworks et de code malveillant devient un levier stratégique d’efficacité.

Quand l’architecture Gamaredon relance le code Turla

En février 2025, ESET a observé sur une machine ukrainienne une interaction rare : l’outil PteroGraphin de Gamaredon a relancé la porte dérobée Kazuar v3, propriété de Turla. Ce mécanisme de réactivation suggère une interopérabilité volontaire entre deux codes malveillants distincts.

PteroGraphin, conçu pour exécuter des charges utiles distantes, a ici servi de loader secondaire, gérant la persistance et la récupération du malware Kazuar après un dysfonctionnement.

Des déploiements similaires ont été observés en avril et juin 2025, cette fois avec PteroOdd et PteroPaste, démontrant la réutilisation systématique de composants d’ingénierie Gamaredon par Turla.

Kazuar v3 : la sophistication d’un espion C#

Développé en C#, Kazuar v3 est une évolution avancée d’une famille de backdoors utilisée exclusivement par Turla depuis 2016. Ce malware intègre des modules de communication chiffrée, d’exfiltration sélective et de gestion modulaire des commandes à distance.

Sa structure orientée objet et sa compatibilité .NET lui permettent de s’adapter à différents environnements Windows, renforçant sa furtivité. ESET note que son taux d’infection limité (sept machines en Ukraine) confirme une utilisation ciblée sur des infrastructures critiques.

PteroGraphin et PteroOdd : l’efficacité en masse

À l’opposé, Gamaredon déploie des outils massifs et agiles comme PteroGraphin, PteroStew ou PteroEffigy. Ces programmes exploitent le spearphishing et la diffusion sur supports amovibles via fichiers LNK pour infecter des milliers de machines à faible coût technique.

Cette stratégie à grande échelle sert désormais de passerelle d’accès initial à Turla, selon Zoltán Rusnák, chercheur chez ESET :

« Gamaredon fournit une infrastructure d’infection de masse, tandis que Turla exploite cet accès pour cibler des données de haute valeur. Cette approche modulaire illustre une orchestration technique planifiée sous la supervision du FSB. »

Synergie FSB : du Centre 18 au Centre 16

Selon le Service de sécurité ukrainien (SBU), Gamaredon est rattaché au Centre 18 du FSB, basé en Crimée, alors que Turla relève du Centre 16, dédié au renseignement électromagnétique. Le NCSC britannique confirme cette attribution. Cette architecture duale du FSB, combinant collecte massive (Centre 18) et exploitation ciblée (Centre 16), explique la complémentarité technique observée entre les deux APT.

De la guerre froide à la cyberguerre algorithmique

Les origines de Turla remontent à la fin des années 1990, avec des campagnes ayant touché le ministère américain de la Défense (2008) et RUAG (2014). Gamaredon, actif depuis 2013, cible principalement les entités gouvernementales ukrainiennes.

Depuis l’invasion de 2022, ESET a constaté une accélération de leurs activités : Turla exploite désormais les artefacts de Gamaredon pour insérer ses implants dans les systèmes stratégiques, illustrant une industrialisation de l’espionnage numérique.

Une ingénierie cyber de nouvelle génération

Cette coopération illustre une tendance technologique majeure : la fusion des infrastructures APT. Au lieu de développer seuls leurs chaînes d’infection, certains groupes alignés exploitent désormais l’interopérabilité de leurs codes.

ESET estime que cette approche “APT-as-a-Service” interne au FSB pourrait devenir un modèle pour les futures opérations de cyberespionnage étatique, combinant agilité de déploiement et sophistication ciblée.

Pour une analyse technique complète de ces interactions, ESET propose son rapport « Collaboration Gamaredon X Turla » sur le site WeLiveSecurity.com.

Articles Recents

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Topics

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Design computationnel chez Samsung : IA, jumeaux numériques et robots au service des wearables

Plus de 10 000 simulations IA, des centaines de millions de données anatomiques mondiales : voici comment Samsung a repensé le design des Galaxy Buds4 Series grâce au computational design.

ESET, seul Challenger du Magic Quadrant 2026 de Gartner

ESET est désigné seul Challenger du Magic Quadrant 2026 de Gartner pour la protection des terminaux. Une reconnaissance qui s’appuie sur 16 années de présence dans le rapport et sur la plateforme ESET PROTECT, axée prévention

ESET Research : la Chine espionne le Golfe et l’IA sud-coréenne

ESET Research documente l'expansion des campagnes d'espionnage chinoises vers le Venezuela, la Syrie et le Golfe, avec un ciblage marquant d'une entreprise sud-coréenne spécialisée en IA et robotique, liée à Made in China 2025.

Articles connexes

Catégories populaires