Turla y Gamaredon se alían para atacar infraestructura digital en Ucrania
El panorama del ciberespionaje en Rusia sigue siendo un tema de actualidad constante. Recientemente, el foco se ha puesto de nuevo en esta nación tras un incidente controvertido con ASML, la compañía holandesa conocida por sus máquinas ultravioleta usadas en la fabricación de chips. Esta vez, la noticia involucra a los piratas informáticos rusos debido a una colaboración poco esperada entre Turla y Gamaredon, dos facciones que tradicionalmente se diferenciaban mucho en sus métodos, pero que ahora han empezado a trabajar juntas.
El origen de esta unión se encuentra en los continuos ciberataques de Rusia hacia Ucrania. Según informes, hay pruebas que sugieren la utilización de infraestructuras compartidas por ambos grupos. En febrero, la firma ESET descubrió cuatro sistemas ucranianos comprometidos por ambos, Turla y Gamaredon, los cuales estaban infectados con malware de ambos grupos actuando simultáneamente. Mientras Turla desplegaba su backdoor Kazuar para espionaje de alto nivel, Gamaredon implementaba su conocida gama de software dañino.
Hace más de seis meses, se detectaron comandos de Turla siendo ejecutados mediante implantes de Gamaredon. De hecho, la colaboración es tan estrecha que, por ejemplo, PteroGraph, una herramienta principal de Gamaredon, fue utilizada para reactivar Kazuar cuando este fallaba. En abril y junio, se identificaron nuevas infecciones donde el malware de Gamaredon fue usado para instalar Kazuar, lo que fortalece la teoría de una alianza entre estos grupos.
Así, aunque Turla ha mostrado en el pasado la capacidad de tomar control de herramientas de terceros (como en ataques a Starlink o Irán), la regularidad y frecuencia de estos descubrimientos apuntan más a una colaboración organizada que a una apropiación hostil. Esta operativa combina la experiencia de dos grupos con décadas de trayectoria: Turla, activo desde 2004 con ataques incluso al Pentágono y ministerios europeos; Gamaredon, operativo desde 2013, se especializa en incursiones masivas y ruidosas, actualmente enfocadas en Ucrania.
Impacto de los ciberataques rusos en Ucrania
Es probable que ambos grupos estén conectados con el Servicio Federal de Seguridad de Rusia (FSB), posiblemente asignados a diferentes divisiones: Turla podría colaborar con el Centro 16 (inteligencia de señales), mientras que Gamaredon podría estar vinculado al Centro 18 (contrainteligencia). La labor de este último permite comprometer extensamente las redes ucranianas, y Turla selecciona sistemas con datos críticos. La cooperación entre ambos maximiza las fortalezas de cada uno en beneficio de Rusia.
Por lo tanto, la unión de estas dos entidades se ve como parte de una escalada en la guerra cibernética que enfrentan Rusia y Ucrania desde 2018, intensificada tras la invasión de 2022. Los expertos indican que esta estrategia representa un avance significativo en la coordinación del ciberespionaje ruso, al lograr que estas dos poderosas facciones colaboren estrechamente.
Hola, soy María, parte del equipo de MuyMac. Me dedico a analizar las tendencias que marcan nuestro día a día, desde innovaciones tecnológicas hasta nuevas modas, para mantenerte siempre actualizado.
