### Colaboración Inédita entre Turla y Gamaredon Revela Nuevas Intrusiones Coordinadas en Sistemas Ucranianos

#### Introducción

Durante los primeros meses de 2024, se ha observado una actividad inusual en el panorama de amenazas dirigidas a infraestructuras críticas y entidades gubernamentales en Ucrania. Dos de los grupos de amenaza persistente avanzada (APT) más activos y sofisticados del ecosistema ruso, Turla (UNC4210) y Gamaredon (Primitive Bear), han desplegado una campaña conjunta que evidencia un nivel de cooperación operacional sin precedentes entre actores tradicionalmente independientes. El análisis forense indica que Turla aprovechó accesos previamente obtenidos por Gamaredon para insertar su propio malware en sistemas ya comprometidos, incrementando así la complejidad y el alcance del ataque.

#### Contexto del Incidente o Vulnerabilidad

Gamaredon, conocido por sus campañas de espionaje y sabotaje centradas en Ucrania desde 2013, comprometió una serie de sistemas clave en enero de 2024 empleando técnicas de spear-phishing y documentos maliciosos de Microsoft Office. Posteriormente, en febrero, Turla desplegó sus propias cargas maliciosas sobre estos mismos sistemas, una táctica que sugiere colaboración o, al menos, un intercambio de inteligencia y acceso.

La colaboración entre ambos grupos resulta relevante por su implicación directa en la intensificación de las ciberoperaciones asociadas al conflicto ruso-ucraniano. Tradicionalmente, Turla ha operado con un perfil más sigiloso y enfocado en espionaje de largo plazo, mientras que Gamaredon se ha caracterizado por ataques rápidos, menos sofisticados pero muy persistentes.

#### Detalles Técnicos

La cadena de ataque identificada comenzó con la explotación de vulnerabilidades conocidas en Microsoft Office y Windows (por ejemplo, CVE-2017-0199 y CVE-2021-26411), vectores recurrentes en campañas de Gamaredon. Los analistas de inteligencia de amenazas detectaron la presencia de implantes típicos de Gamaredon como Pterodo y GammaLoad, utilizados para establecer persistencia y exfiltrar credenciales.

En febrero, Turla desplegó malware personalizado en estos sistemas comprometidos, incluyendo variantes del backdoor Snake/Uroburos y Carbon. El análisis de TTPs bajo MITRE ATT&CK revela las siguientes técnicas predominantes:

– **Initial Access:** Spear-phishing Attachment (T1193)
– **Execution:** Command and Scripting Interpreter (T1059)
– **Persistence:** Registry Run Keys/Startup Folder (T1547)
– **Defense Evasion:** Obfuscated Files or Information (T1027)
– **Command and Control:** Custom Command and Control Protocol (T1095)

Como IoC principales se han identificado dominios C2 relacionados con Turla y hashes SHA256 exclusivos de las muestras de malware desplegadas. El uso de frameworks como Cobalt Strike y Metasploit se ha detectado, principalmente durante la fase de movimiento lateral y escalado de privilegios.

#### Impacto y Riesgos

El impacto de esta campaña es significativo para infraestructuras críticas, organismos estatales y proveedores de servicios estratégicos en Ucrania. La superposición de implantes y metodologías incrementa la dificultad de detección y remediación, ya que los sistemas infectados pueden permanecer bajo control de ambos grupos durante periodos prolongados. Según estimaciones de CERT-UA, más del 8% de los sistemas gubernamentales comprometidos por Gamaredon en enero fueron posteriormente objeto de ataques por parte de Turla.

Desde el punto de vista económico, los costes asociados a la contención, análisis forense y recuperación de sistemas pueden superar los 2 millones de euros por incidente, sin considerar el impacto reputacional y los riesgos de fuga de información sensible bajo la normativa GDPR y la inminente NIS2.

#### Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos derivados de este tipo de campañas coordinadas, se recomienda:

– **Aplicar parches de seguridad** a Microsoft Office y Windows, especialmente para CVEs explotados por Gamaredon y Turla.
– **Monitorizar IoC actualizados**, prestando especial atención a dominios C2, hashes y patrones de tráfico asociados a ambos grupos.
– **Implementar segmentación de red** y políticas de acceso mínimo necesario para limitar el movimiento lateral.
– **Reforzar el análisis de logs** y la monitorización avanzada en endpoints mediante EDR con capacidades de detección de TTPs bajo MITRE ATT&CK.
– **Ejecutar simulaciones de ataque** (red teaming) para validar la resiliencia ante técnicas combinadas de APT.

#### Opinión de Expertos

Especialistas de firmas como Mandiant y Recorded Future destacan la importancia de esta colaboración, señalando que “la convergencia de TTPs entre Turla y Gamaredon eleva el listón en cuanto a sofisticación y persistencia de las amenazas rusas”. Desde el centro ucraniano de respuesta a incidentes (CERT-UA) advierten que “la capacidad de compartir acceso y recursos entre grupos incrementa drásticamente el tiempo de permanencia de los atacantes”.

#### Implicaciones para Empresas y Usuarios

Las organizaciones con operaciones, filiales o proveedores en Ucrania deben revisar urgentemente sus políticas de seguridad y capacidad de respuesta ante incidentes. La campaña demuestra la necesidad de una inteligencia de amenazas colaborativa y una comunicación fluida entre SOC y equipos de respuesta. Para los usuarios, extremar la precaución ante correos electrónicos sospechosos y reforzar la autenticación multifactor son medidas imprescindibles.

#### Conclusiones

La colaboración entre Turla y Gamaredon marca una nueva fase en las operaciones de ciberespionaje en Europa del Este, incrementando la sofisticación y el impacto potencial de las amenazas. El sector debe prepararse para nuevas campañas coordinadas que combinan acceso inicial rápido y persistencia a largo plazo, exigiendo una defensa en profundidad y una inteligencia de amenazas proactiva.

(Fuente: www.securityweek.com)