Según los datos de ESET Research, Gamaredon y Turla —dos grupos tradicionalmente independientes pero asociados a la agencia de inteligencia rusa FSB— han actuado de manera coordinada contra sistemas de gran relevancia en Ucrania.
La colaboración se materializó en ataques en los que Gamaredon comprometía máquinas a gran escala y Turla seleccionaba aquellas con información especialmente valiosa para llevar a cabo sus operaciones de espionaje.
Primeros indicios de la cooperación
El hallazgo fue confirmado por los investigadores de ESET Matthieu Faou y Zoltán Rusnák. Según sus análisis, a lo largo de 2025 se registraron incidentes en los que Turla utilizó implantes desplegados previamente por Gamaredon.
En febrero, por ejemplo, se detectó que la puerta trasera Kazuar v3 de Turla fue reactivada mediante la herramienta PteroGraphin, controlada inicialmente por Gamaredon. Este episodio marcó la primera evidencia técnica que vincula a ambos grupos de forma directa.
En los meses de abril y junio, los expertos documentaron nuevas actividades en las que Kazuar v2 fue ejecutado gracias a las utilidades PteroOdd y PteroPaste, también desarrolladas por Gamaredon. El hecho confirma que Turla ha aprovechado la infraestructura de su homólogo para mantener el acceso a sistemas altamente sensibles en Ucrania.
Gamaredon como vector de entrada
Gamaredon, activo desde al menos 2013, es conocido por su capacidad de comprometer un gran número de equipos mediante técnicas de spearphishing y archivos maliciosos LNK en dispositivos extraíbles. Su estrategia se basa en la cantidad: infectar miles de sistemas en busca de oportunidades de acceso.
ESET explica que Turla, en cambio, se enfoca en la calidad de sus blancos. De las miles de infecciones atribuidas a Gamaredon, Turla ha intervenido únicamente en unas pocas máquinas, aquellas con datos estratégicos vinculados al sector de defensa ucraniano o a instituciones gubernamentales clave.
Turla y su historial
Turla, también conocido como Snake, es uno de los grupos de ciberespionaje más reconocidos del mundo. Con actividad documentada desde principios de los 2000, se le atribuyen ataques contra entidades de alto nivel, como el Departamento de Defensa de Estados Unidos en 2008 o la empresa suiza de defensa RUAG en 2014. Su arsenal incluye herramientas avanzadas de infiltración y persistencia, entre las que destaca la familia de puertas traseras Kazuar.
La detección de Kazuar v3 en los sistemas ucranianos afectados refuerza la hipótesis de que Turla se reserva para operaciones estratégicas, con un claro interés en recopilar información de inteligencia militar y diplomática.
Vínculos con el FSB y estructuras de inteligencia
El Servicio de Seguridad de Ucrania ha señalado que Gamaredon estaría operado por oficiales del Centro 18 del FSB, ubicado en Crimea, especializado en seguridad de la información.
Por su parte, el Centro Nacional de Seguridad Cibernética del Reino Unido atribuye a Turla al Centro 16 del FSB, encargado de operaciones de inteligencia de señales. Ambos organismos forman parte del entramado de contrainteligencia ruso, lo que explica la convergencia observada en Ucrania.
Desde una perspectiva histórica, la relación entre estas divisiones del FSB no es nueva. Existen registros de colaboración entre unidades de inteligencia rusas desde la Guerra Fría, aunque nunca se había logrado una confirmación técnica tan clara como la documentada por ESET en 2025. La invasión a gran escala iniciada en 2022 parece haber acelerado esta convergencia.
Informes y datos recientes
El Informe Anual de Amenazas 2025 de ESET Research resalta que Ucrania concentra actualmente el 60% de los incidentes de ciberespionaje detectados en Europa del Este. El documento también destaca que los ataques de Gamaredon han aumentado un 25% respecto a 2024, mientras que Turla mantiene operaciones más discretas pero de gran impacto.
Por su parte, el Centro de Estudios de Seguridad Internacional de la Universidad de Varsovia publicó en abril de 2025 un análisis en el que advertía que la coordinación entre grupos de espionaje rusos responde a la necesidad del Kremlin de centralizar esfuerzos en un conflicto prolongado.
