Kolaborasi Gamaredon dan Turla: Serangan Siber Bersama Menargetkan Ukraina
Para peneliti keamanan siber menemukan bukti mengejutkan mengenai kolaborasi dua kelompok peretas Rusia, Gamaredon dan Turla, yang secara aktif menyasar dan mengompromikan entitas di Ukraina. Temuan ini menandai fase baru ancaman dunia maya, di mana kelompok-kelompok dengan afiliasi berbeda terlihat bekerja sama untuk memperkuat efektivitas serangan mereka.
Menurut laporan terbaru perusahaan keamanan siber Slovakia ESET, pihaknya mengamati penggunaan alat Gamaredon – PteroGraphin dan PteroOdd – untuk mengeksekusi backdoor Kazuar milik kelompok Turla pada salah satu endpoint di Ukraina pada Februari 2025. Indikasi ini menunjukkan bahwa Turla kemungkinan besar memanfaatkan akses Gamaredon untuk menginfeksi mesin tertentu di Ukraina dan mengantarkan backdoor Kazuar.
PteroGraphin dan Peranannya dalam Penyebaran Kazuar
Dalam laporannya yang dibagikan ke The Hacker News, ESET menyebutkan bahwa PteroGraphin digunakan untuk memulai ulang Kazuar v3, kemungkinan setelah aplikasi tersebut crash atau gagal berjalan otomatis. Hal ini menandakan bahwa PteroGraphin berfungsi sebagai metode pemulihan yang digunakan Turla.
Tak hanya itu, pada April dan Juni 2025, ESET juga mendeteksi penyebaran Kazuar v2 melalui dua malware Gamaredon lainnya, yakni PteroOdd dan PteroPaste. Temuan ini memperkuat dugaan adanya pola kerja sama sistematis antara kedua kelompok.
Profil Gamaredon dan Turla
Gamaredon, yang juga dikenal dengan sebutan Aqua Blizzard atau Armageddon, diperkirakan berafiliasi dengan Dinas Keamanan Federal Rusia (FSB) dan telah aktif sejak setidaknya 2013. Kelompok ini bertanggung jawab atas berbagai serangan, terutama terhadap institusi pemerintahan Ukraina.
Sementara itu, Turla – alias Secret Blizzard, Venomous Bear, atau Snake – adalah kelompok spionase siber yang telah beroperasi sejak 2004, bahkan kemungkinan sejak akhir 1990-an. Turla dikenal menargetkan sasaran-sasaran bernilai tinggi, termasuk pemerintah dan entitas diplomatik di Eropa, Asia Tengah, dan Timur Tengah. Mereka pernah membobol organisasi besar seperti Departemen Pertahanan AS pada 2008 dan perusahaan pertahanan Swiss RUAG pada 2014.
Latar Belakang Invasi dan Fokus Serangan
ESET menilai bahwa invasi penuh Rusia ke Ukraina pada 2022 menjadi pemicu konvergensi ini. Dalam beberapa bulan terakhir, serangan mereka semakin memusatkan perhatian pada sektor pertahanan Ukraina, yang menunjukkan peningkatan agresivitas dan koordinasi antar kelompok.
Kazuar sendiri adalah salah satu implant andalan Turla yang terus diperbarui. Sebelumnya, malware ini pernah memanfaatkan bot Amadey untuk menginstal backdoor Tavdig sebelum menjatuhkan alat berbasis .NET. Artefak awal terkait Kazuar telah terlihat sejak 2016, menurut Kaspersky.
Senjata Gamaredon: PteroGraphin, PteroOdd, dan PteroPaste
Di sisi lain, PteroGraphin, PteroOdd, dan PteroPaste merupakan bagian dari gudang senjata Gamaredon yang terus berkembang untuk menyampaikan payload tambahan. PteroGraphin, misalnya, adalah alat PowerShell yang menggunakan add-in Microsoft Excel dan tugas terjadwal sebagai mekanisme persistensi, serta memanfaatkan Telegraph API untuk command-and-control (C2). Alat ini pertama kali ditemukan pada Agustus 2024.
Vektor akses awal yang digunakan Gamaredon belum sepenuhnya jelas. Namun, kelompok ini memiliki rekam jejak menggunakan spear-phishing dan file LNK berbahaya pada media eksternal dengan bantuan alat seperti PteroLNK untuk penyebaran.
Rangkaian Serangan yang Terstruktur
Selama 18 bulan terakhir, indikator terkait Turla telah terdeteksi pada tujuh mesin di Ukraina, empat di antaranya dibobol oleh Gamaredon pada Januari 2025. Versi terbaru Kazuar (Kazuar v3) dilaporkan dideploy pada akhir Februari. Menurut ESET, Kazuar v2 dan v3 memiliki basis kode yang sama, dengan v3 mencakup sekitar 35% lebih banyak baris C# dibanding v2 dan memperkenalkan metode transport jaringan baru melalui web sockets dan Exchange Web Services.
Rantai serangan dimulai ketika Gamaredon mengerahkan PteroGraphin untuk mengunduh downloader PowerShell bernama PteroOdd, yang kemudian mengambil payload dari Telegraph untuk mengeksekusi Kazuar. Payload tersebut dirancang untuk mengumpulkan dan mengeksfiltrasi nama komputer korban serta nomor seri volume drive sistem ke subdomain Cloudflare Workers sebelum meluncurkan Kazuar.
Menariknya, ESET menemukan bahwa Kazuar telah berada di sistem sejak 11 Februari 2025, sehingga ada kemungkinan Gamaredon yang mengunduh backdoor tersebut.
Bukti-Bukti Tambahan dan Teknik Eksfiltrasi Data
Sebagai tanda bahwa fenomena ini bukan kasus tunggal, ESET mengungkapkan keberadaan sampel PteroOdd lain pada mesin berbeda di Ukraina pada Maret 2025 yang juga terinfeksi Kazuar. Malware ini mampu mengumpulkan berbagai informasi sistem, termasuk daftar versi .NET yang terinstal, lalu mengirimkannya ke domain eksternal “eset.ydns[.]eu”. Fakta bahwa toolset Gamaredon tidak memiliki malware berbasis .NET sementara Kazuar berbasis .NET memperkuat dugaan bahwa langkah pengumpulan data ini diperuntukkan bagi Turla.
Gelombang serangan kedua terdeteksi pada pertengahan April 2025, saat PteroOdd digunakan untuk menjatuhkan downloader PowerShell lain yang diberi sandi PteroEffigy. Downloader ini kemudian menghubungi domain “eset.ydns[.]eu” untuk mengirimkan Kazuar v2 (“scrss.ps1”), yang sebelumnya telah didokumentasikan Palo Alto Networks pada akhir 2023.
ESET juga mendeteksi rantai serangan ketiga pada 5 dan 6 Juni 2025, di mana downloader PowerShell bernama PteroPaste digunakan untuk menginstal Kazuar v2 (“ekrn.ps1”) dari domain “91.231.182[.]187” pada dua mesin di Ukraina. Nama “ekrn” diduga sebagai upaya pelaku untuk menyamar sebagai “ekrn.exe,” file asli dari produk keamanan endpoint ESET.