كشف باحثون في مجال الأمن السيبراني عن أدلة تشير إلى تعاون محتمل بين مجموعتي تجسس روسيتين، وهما Gamaredon و Turla، لاستهداف كيانات أوكرانية. يعكس هذا التطور الجديد طبيعة التهديدات السيبرانية المتزايدة وتعاون الجهات الفاعلة في هذا المجال.
وأوضحت شركة ESET للأمن السيبراني السلوفاكية أنها رصدت استخدام أدوات مجموعة Gamaredon، المعروفة باسم PteroGraphin و PteroOdd، لتنفيذ برمجية Turla الخبيثة Kazuar backdoor على نقطة نهاية في أوكرانيا في فبراير 2025. يشير هذا إلى احتمالية كبيرة لتعاون Turla النشط مع Gamaredon للوصول إلى أنظمة معينة في أوكرانيا ونشر برمجية Kazuar.
تعاون Gamaredon و Turla في الهجمات السيبرانية
يشير التقرير إلى أن PteroGraphin قد استُخدمت لإعادة تشغيل برمجية Kazuar v3 backdoor، ربما بعد تعطلها أو عدم تشغيلها تلقائياً. من هنا، يُعتقد أن PteroGraphin ربما استُخدمت كطريقة استعادة من قبل Turla.
وفي حادثتين منفصلتين في أبريل ويونيو 2025، كشفت ESET عن رصدها أيضاً لنشر برمجية Kazuar v2 عبر عائلتين أخريين من البرمجيات الخبيثة التابعة لمجموعة Gamaredon، وهما PteroOdd و PteroPaste.
تُعرف كل من Gamaredon (المعروفة أيضاً باسم Aqua Blizzard و Armageddon) و Turla (المعروفة أيضاً باسم Secret Blizzard و Venomous Bear) بارتباطهما بجهاز الأمن الفيدرالي الروسي (FSB)، وهما معروفتان بهجماتهما التي تستهدف أوكرانيا.
نشاطات المجموعتين السابقة
وقالت ESET إن Gamaredon نشطة منذ عام 2013 على الأقل، وهي مسؤولة عن العديد من الهجمات، معظمها ضد المؤسسات الحكومية الأوكرانية.
أما Turla، المعروفة أيضاً باسم Snake، فهي مجموعة تجسس سيبراني سيئة السمعة نشطة منذ عام 2004 على الأقل، وربما منذ أواخر التسعينيات. تركز المجموعة بشكل أساسي على أهداف رفيعة المستوى، مثل الحكومات والكيانات الدبلوماسية، في أوروبا وآسيا الوسطى والشرق الأوسط. وهي معروفة باختراقها لمنظمات كبرى مثل وزارة الدفاع الأمريكية في عام 2008 وشركة الدفاع السويسرية RUAG في عام 2014.
أفادت شركة الأمن السيبراني بأن الغزو الروسي الشامل لأوكرانيا في عام 2022 قد غذى هذا التقارب على الأرجح، مع تركيز الهجمات بشكل أساسي على قطاع الدفاع الأوكراني في الأشهر الأخيرة.
تُعد Kazuar إحدى البرمجيات الأساسية لمجموعة Turla، وهي برمجية خبيثة يتم تحديثها باستمرار، وقد استغلت في السابق برمجيات Amadey bots لنشر برمجية backdoor تسمى Tavdig، والتي تقوم بعد ذلك بتنزيل أداة مبنية على .NET. وقد لوحظت الآثار المبكرة المرتبطة بالبرمجية الخبيثة في البرية منذ عام 2016، وفقاً لتقرير من Kaspersky.
آلية الهجوم والأدوات المستخدمة
من ناحية أخرى، تُعد PteroGraphin و PteroOdd و PteroPaste جزءاً من ترسانة متزايدة من الأدوات التي طورتها Gamaredeon لتقديم حمولات إضافية. PteroGraphin هي أداة PowerShell تستخدم إضافات Microsoft Excel والمهام المجدولة كآلية استمرارية، وتستخدم واجهة برمجة تطبيقات Telegraph للتحكم والقيادة (C2). وقد تم اكتشافها لأول مرة في أغسطس 2024.
لم يتضح بعد ناقل الوصول الأولي الدقيق الذي تستخدمه Gamaredon، لكن للمجموعة تاريخ في استخدام التصيد الاحتيالي الموجه وملفات LNK الخبيثة على محركات أقراص قابلة للإزالة باستخدام أدوات مثل PteroLNK للانتشار.
بشكل عام، تم اكتشاف مؤشرات مرتبطة بـ Turla على سبع آلات في أوكرانيا خلال الـ 18 شهراً الماضية، من بينها أربع آلات تعرضت للاختراق من قبل Gamaredon في يناير 2025. ويُقال إن نشر أحدث إصدار من Kazuar (Kazuar v3) قد حدث في نهاية فبراير.
أفادت ESET بأن Kazuar v2 و v3 هما نفس عائلة البرمجيات الخبيثة تقريباً ويشتركان في نفس قاعدة الشفرة. وتتضمن Kazuar v3 حوالي 35% سطور C# إضافية مقارنة بـ Kazuar v2، وتقدم طرق نقل شبكة إضافية: عبر web sockets و Exchange Web Services.
تضمنت سلسلة الهجمات قيام Gamaredon بنشر PteroGraphin، والتي استُخدمت لتنزيل برنامج تنزيل PowerShell يُدعى PteroOdd، والذي بدوره جلب حمولة من Telegraph لتنفيذ Kazuar. تم تصميم الحمولة أيضاً لجمع اسم جهاز الضحية والرقم التسلسلي لمحرك الأقراص النظامي واستخراجها إلى نطاق فرعي لـ Cloudflare Workers، قبل تشغيل Kazuar.
ومع ذلك، من المهم ملاحظة هنا أن هناك دلائل تشير إلى أن Gamaredon قامت بتنزيل Kazuar، حيث يُقال إن البرمجية الخبيثة كانت موجودة على النظام منذ 11 فبراير 2025.
في علامة أخرى تدل على أن هذه الظاهرة لم تكن معزولة، كشفت ESET أنها حددت عينة PteroOdd أخرى على جهاز مختلف في أوكرانيا في مارس 2025، كان Kazuar موجوداً عليها أيضاً. البرمجية الخبيثة قادرة على جمع مجموعة واسعة من معلومات النظام، بالإضافة إلى قائمة بإصدارات .NET المثبتة، وإرسالها إلى نطاق خارجي (“eset.ydns[.]eu”).
حقيقة أن مجموعة أدوات Gamaredon تفتقر إلى أي برمجيات .NET وأن Kazuar التابعة لـ Turla مبنية على .NET، تشير إلى أن خطوة جمع البيانات هذه من المحتمل أن تكون لصالح Turla، وفقاً لتقييم الشركة.
تم اكتشاف المجموعة الثانية من الهجمات في منتصف أبريل 2025، عندما استُخدم PteroOdd لإسقاط برنامج تنزيل PowerShell آخر مشفر باسم PteroEffigy، والذي اتصل في النهاية بنطاق “eset.ydns[.]eu” لتسليم Kazuar v2 (“scrss.ps1”)، والذي تم توثيقه بواسطة Palo Alto Networks في أواخر عام 2023.
ذكرت ESET أنها اكتشفت أيضاً سلسلة هجوم ثالثة في 5 و 6 يونيو 2025، حيث رصدت برنامج تنزيل PowerShell يُشار إليه باسم PteroPaste وهو يُوظف لتنزيل وتثبيت Kazuar v2 (“ekrn.ps1”) من النطاق “91.231.182[.]187” على جهازين يقعان في أوكرانيا. ربما يكون استخدام الاسم “ekrn” محاولة من الجهات الفاعلة المهددة للتظاهر بأنها “ekrn.exe”، وهو ملف تنفيذي شرعي مرتبط بمنتجات ESET الأمنية.
“نعتقد الآن بثقة عالية أن المجموعتين – المرتبطتين بشكل منفصل بجهاز FSB – تتعاونان، وأن Gamaredon توفر الوصول الأولي لـ Turla”، حسبما صرح باحثا ESET، ماثيو فا وو وزولتان روسناك.