Urgence : Collaboration entre pirates russes Gamaredon et Turla pour déployer une porte dérobée en Ukraine
Kiev,Ukraine – Des chercheurs en sécurité ont mis en évidence une collaboration inquiétante entre deux groupes de pirates informatiques russes,Gamaredon et Turla,dans le cadre d’une campagne ciblée contre l’Ukraine. L’opération, qui s’intensifie depuis avril 2025, implique l’utilisation de logiciels malveillants sophistiqués pour compromettre des systèmes et établir une présence persistante.
L’analyse des récentes attaques révèle une division du travail claire. Gamaredon, connu pour ses tactiques de collecte de données, semble fournir un accès initial à Turla, un groupe réputé pour ses capacités d’espionnage avancées. Cette coopération suggère une synergie stratégique entre les deux entités, toutes deux associées au FSB russe.
la campagne se déroule en plusieurs phases. Initialement, des téléchargeurs PowerShell, notamment “Pteroodd” et “Pteropaste”, sont déployés pour installer la porte dérobée “Kazuar V2”. Cette dernière, basée sur le framework .NET,a été documentée par Palo Alto Networks fin 2023. Les chercheurs d’ESET ont identifié plusieurs domaines et adresses IP utilisés pour distribuer Kazuar, notamment “eset.ydns eset.ydns[.]EU” et “91.231.182[.]187”.
Une tactique particulièrement préoccupante consiste à utiliser le nom “EKRN” pour masquer le logiciel malveillant, imitant ainsi un binaire légitime associé aux produits de sécurité ESET. Cette technique de camouflage vise à tromper les systèmes de défense et à faciliter l’installation de la porte dérobée.
Contexte et implications à long terme :
Cette collaboration entre Gamaredon et Turla s’inscrit dans un contexte plus large de cyberactivité russe accrue contre l’Ukraine, exacerbée par le conflit en cours.Les portes dérobées comme Kazuar permettent aux attaquants d’accéder à des informations sensibles, de surveiller les communications et potentiellement de perturber les infrastructures critiques.
L’utilisation de .NET comme base pour Kazuar est significative. Ce framework, largement utilisé dans les environnements d’entreprise, offre aux attaquants une flexibilité et une compatibilité accrues, rendant la détection et l’analyse plus difficiles.
La sophistication des techniques employées souligne la nécessité pour les organisations et les gouvernements de renforcer leurs défenses cybernétiques, d’améliorer la détection des menaces et de partager activement les renseignements sur les menaces. La coopération entre les groupes de pirates informatiques, soutenus par des États, représente une menace croissante pour la sécurité mondiale et exige une réponse coordonnée et proactive.
Les chercheurs d’ESET, Matthieu Faou et Zoltán Rusnák, ont exprimé une “grande confiance” dans le fait que cette collaboration est bien réelle et qu’elle représente une évolution préoccupante dans le paysage des cybermenaces.
