Une alliance inédite dans le cyberespace russe
ESET Research a documenté pour la première fois une collaboration directe entre Turla et Gamaredon, deux groupes de cyberespionnage avancé (APT) opérant sous l’autorité du FSB, le service fédéral de sécurité russe. Cette coopération marque un tournant dans la cyberguerre opposant la Russie et l’Ukraine, avec un partage d’outils et de ressources inédit entre les deux entités.
Quand Gamaredon ouvre la voie à Turla
Sur plusieurs systèmes compromis en Ukraine, les chercheurs d’ESET ont observé que Gamaredon avait déployé ses outils malveillants habituels, tels que PteroGraphin et PteroOdd, permettant à Turla d’y introduire sa porte dérobée Kazuar. En février 2025, PteroGraphin a ainsi servi à relancer Kazuar v3 après un dysfonctionnement, agissant comme un mécanisme de récupération pour Turla. Il s’agit de la première preuve technique attestant d’une coopération opérationnelle entre les deux groupes.
Des cibles stratégiques et une coordination étroite
Selon Matthieu Faou, chercheur chez ESET à l’origine de la découverte, « Turla n’a été détecté que sur sept machines en Ukraine cette année, alors que Gamaredon en compromet des centaines, voire des milliers. Cela suggère que Turla cible uniquement des systèmes contenant des informations particulièrement sensibles. »
Cette précision illustre la complémentarité entre les deux APT : Gamaredon sert de vecteur initial de compromission tandis que Turla concentre ses efforts sur les actifs à haute valeur stratégique.
Des outils malveillants sophistiqués
Kazuar v3, développé en C#, représente la dernière évolution d’un malware d’espionnage utilisé par Turla depuis 2016. En parallèle, Gamaredon continue d’exploiter un arsenal complet d’outils — PteroLNK, PteroStew, PteroEffigy — spécialisés dans le spearphishing et la propagation via supports amovibles.
D’après Zoltán Rusnák, chercheur chez ESET, « Gamaredon fournit à Turla un accès initial privilégié, les deux groupes opérant sous la supervision du FSB ».
Le FSB, architecte de la collaboration
Les liens entre ces deux APT remontent à plusieurs décennies. Selon le Service de sécurité ukrainien (SBU), Gamaredon dépend du Centre 18 du FSB, basé en Crimée, tandis que Turla est rattaché au Centre 16, spécialisé dans le renseignement électromagnétique. Le National Cyber Security Centre (NCSC) britannique confirme également cette attribution.
Historiquement, des entités associées à Turla et Gamaredon coopéraient déjà durant la guerre froide. Depuis l’invasion de l’Ukraine en 2022, leur collaboration s’est intensifiée, notamment contre le secteur de la défense ukrainien.
Deux APT à l’héritage lourd
Actif depuis 2013, Gamaredon se concentre principalement sur les institutions gouvernementales ukrainiennes. Turla, aussi connu sous le nom de Snake, opère depuis la fin des années 1990 et cible des gouvernements et organisations diplomatiques en Europe, en Asie centrale et au Moyen-Orient.
Le groupe est notamment impliqué dans plusieurs attaques majeures, dont celles contre le ministère américain de la Défense en 2008 et contre RUAG, une entreprise suisse de défense, en 2014.
Une intensification de la cyberguerre russo-ukrainienne
La mise en lumière de cette coopération par ESET souligne la professionnalisation croissante des opérations de cyberespionnage russes. La combinaison de la capacité d’infiltration massive de Gamaredon et de la sophistication technique de Turla représente une menace majeure pour la sécurité des infrastructures critiques ukrainiennes.
Pour une analyse technique complète de ces interactions, ESET propose son rapport « Collaboration Gamaredon X Turla » sur le site WeLiveSecurity.com.
