Hai trong số các nhóm hack tích cực nhất của Điện Kremlin đang hợp tác, ESET nói

Tác giả tanthanh 06/02/2026 9 phút đọc

Hai trong số các đơn vị hack tích cực nhất của Điện Kremlin gần đây đã bị phát hiện hợp tác trong các cuộc tấn công phần mềm độc hại xâm phạm các thiết bị có giá trị cao đặt tại Ukraine, các nhà nghiên cứu bảo mật cho biết hôm thứ Sáu.

Một trong những nhóm là Turla, dễ dàng là một trong những mối đe dọa dai dẳng tiên tiến tinh vi nhất thế giới (các nhóm hack được tổ chức tốt và được tài trợ tốt, nhiều nhóm được các quốc gia hậu thuẫn, nhắm mục tiêu vào các đối thủ cụ thể trong nhiều năm tại một thời điểm). Các nhà nghiên cứu từ nhiều công ty bảo mật phần lớn đồng ý rằng Turla đứng đằng sau các hành vi vi phạm các Bộ Quốc phòng Mỹ năm 2008, và gần đây hơn, Bộ Ngoại giao Đức và quân đội Pháp. Nhóm cũng đã được biết đến với giải phóng phần mềm độc hại Linux tàng hình và sử dụng liên kết Internet dựa trên vệ tinh để duy trì khả năng tàng hình trong hoạt động của mình. Nhóm tiến hành các cuộc tấn công có mục tiêu hẹp vào các mục tiêu có giá trị cao và giữ kín danh tính.

Trong khi đó, Gamaredon là một APT riêng biệt được biết đến với việc tiến hành các hoạt động quy mô rộng hơn nhiều, thường nhắm vào các tổ chức ở Ukraine. Trong khi Turla chịu khó bay dưới radar, Gamaredon dường như không quan tâm đến việc bị phát hiện và liên kết với chính phủ Nga. Phần mềm độc hại của nó thường nhằm mục đích thu thập càng nhiều thông tin từ các mục tiêu càng tốt trong một khoảng thời gian ngắn. Cả Turla và Gamaredon đều được đánh giá rộng rãi là các đơn vị của Cơ quan An ninh Liên bang Nga (FSB) của Nga, cơ quan an ninh trưởng của nước này và là người kế nhiệm KGB của Liên Xô.

Có thể tiếp quản thù địch, có nhiều khả năng hợp tác hơn

Hãng bảo mật ESET cho biết hôm thứ Sáu rằng nó đã phát hiện cả hai phần mềm độc hại group’ được cài đặt cùng nhau hoặc tương tác trên nhiều thiết bị trong những tháng gần đây. Các nhà nghiên cứu của công ty cho biết, có thể Turla đã cướp cơ sở hạ tầng của Gamaredon theo cách tương tự như một sự kiện năm 2019 mà nhóm đã tiến hành một sự tiếp quản thù địch của một nền tảng tấn công thuộc về một APT cạnh tranh làm việc cho chính phủ Iran. Tương tự, Turla năm ngoái chiếm đoạt cơ sở hạ tầng của hai nhóm hack có động cơ tài chính trong một chiến dịch nhắm vào các thiết bị kết nối Starlink ở Ukraine.

Nhưng ESET cho biết giả thuyết rất có thể của họ là Turla và Gamaredon đang làm việc cùng nhau. “Cho rằng cả hai nhóm đều là một phần của FSB Nga (mặc dù ở hai Trung tâm khác nhau), Gamaredon đã cung cấp quyền truy cập cho các nhà khai thác Turla để họ có thể ra lệnh trên một máy cụ thể để khởi động lại Kazuar và triển khai Kazuar v2 trên một số máy khác,” công ty cho biết.

Bài đăng hôm thứ Sáu lưu ý rằng Gamaredon đã được nhìn thấy cộng tác với các nhóm hack khác trước đây, cụ th vào năm 2020 với một nhóm các bài hát ESET dưới tên InvisiMole.

Vào tháng 2, ESET cho biết, các nhà nghiên cứu của công ty đã phát hiện ra bốn thỏa hiệp đồng Gamaredon-Turla riêng biệt ở Ukraine. Trên tất cả các máy, Gamaredon đã triển khai nhiều loại công cụ, bao gồm cả những công cụ được theo dõi dưới tên PteroLNK, PteroStew, PteroOdd, PteroEffigy và PteroGraphin. Về phần mình, Turla đã cài đặt phiên bản 3 của phần mềm độc hại độc quyền Kazuar.

Phần mềm ESET được cài đặt trên một trong những thiết bị bị xâm nhập đã quan sát thấy Turla đưa ra lệnh thông qua bộ cấy Gamaredon.

“PteroGraphin được sử dụng để khởi động lại Kazuar, có thể sau khi Kazuar bị rơi hoặc không được phóng tự động,” ESET cho biết. “Do đó, PteroGraphin có lẽ đã được Turla sử dụng làm phương pháp phục hồi. Đây là lần đầu tiên chúng tôi có thể liên kết hai nhóm này với nhau thông qua các chỉ số kỹ thuật (xem Chuỗi đầu tiên: Chuỗi đầu tiên: Khởi động lại Kazuar v3).”

Sau đó, vào tháng 4 và một lần nữa vào tháng 6, ESET cho biết họ đã phát hiện các trình cài đặt Kazuar v2 đang được phần mềm độc hại Gamaredon triển khai. Trong tất cả các trường hợp, phần mềm ESET đã được cài đặt sau khi thỏa hiệp, do đó, không thể khôi phục tải trọng. Tuy nhiên, công ty cho biết họ tin rằng sự hợp tác tích cực giữa các nhóm là lời giải thích hợp lý nhất.

“Tất cả những yếu tố đó và thực tế là Gamaredon đang xâm phạm hàng trăm, nếu không muốn nói là hàng nghìn máy móc, cho thấy Turla chỉ quan tâm đến những máy móc cụ thể, có thể là những máy có trí thông minh rất nhạy cảm,” ESET suy đoán.