brève actu
En 2025, Gamaredon et Turla ont mené des cyberattaques coordonnées contre l’Ukraine, révélant un nouveau niveau de sophistication et de menace.
En 2025, les groupes de cyberespionnage Gamaredon et Turla, tous deux liés à l’agence de renseignement russe FSB, ont uni leurs forces pour lancer une série de cyberattaques sophistiquées contre des cibles ukrainiennes. Cette collaboration inhabituelle met en lumière le niveau d’organisation et de sophistication que les cyberattaques peuvent atteindre lorsqu’elles sont orchestrées par des groupes d’élite. Leurs actions visent à déstabiliser des infrastructures critiques en Ukraine, exacerbant ainsi les tensions géopolitiques dans la région.
Gamaredon et Turla : une alliance de cyberespionnage inédite
Selon ESET, les groupes Gamaredon et Turla ont collaboré entre février et avril 2025 pour attaquer des systèmes ukrainiens. Gamaredon, connu pour ses méthodes bruyantes, a utilisé divers outils tels que PteroLNK et PteroGraphin pour initialement compromettre les systèmes. Ensuite, Turla a déployé le malware Kazuar, démontrant ainsi une coordination entre les deux groupes. Cette coopération marque la première connexion technique avérée entre Gamaredon et Turla, un développement qui souligne l’évolution des stratégies de ces acteurs de la menace. En combinant leurs compétences, ils ont pu augmenter la persistance et la sophistication des attaques, ciblant spécifiquement des systèmes d’importance stratégique.
Le groupe Gamaredon opère depuis 2013 et concentre ses attaques sur les organisations gouvernementales et de défense en Ukraine. De son côté, Turla, actif depuis 2004, vise des organisations diplomatiques et gouvernementales à travers le monde. Cette collaboration entre Gamaredon et Turla n’est pas totalement surprenante, compte tenu de leurs liens avec le FSB, l’agence de renseignement russe. Comme le détaille WeLiveSecurity, cette coopération pourrait être motivée par un partage de ressources et d’accès, Gamaredon fournissant les accès initiaux que Turla exploite ensuite pour ses opérations plus ciblées.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Les méthodes de Gamaredon pour obtenir un accès initial incluent souvent le spear-phishing et l’utilisation de fichiers LNK malveillants sur des supports amovibles. Une fois cet accès obtenu, Turla intervient pour exploiter les systèmes les plus sensibles, notamment ceux contenant des informations de haute valeur.
Cette approche à deux niveaux permet à Turla de maximiser l’impact de ses opérations tout en minimisant les risques d’exposition. Les chercheurs ont également observé que Turla a utilisé l’implant de Gamaredon pour redémarrer Kazuar, un exemple frappant de leur collaboration technique. Les implications de cette alliance sont vastes, soulignant la nécessité pour les entités ciblées de renforcer leurs défenses face à des attaques de plus en plus coordonnées et sophistiquées.
Serveurs, API, outils de veille.
DCOD est un projet indépendant sans revenu. L'infra a un coût. Participez aux frais.
