Turla evolui o backdoor Kazuar para botnet P2P modular voltada a espionagem de longo prazo

O grupo russo Turla, ligado pelo CISA ao Center 16 do FSB, deu um salto arquitetural em seu backdoor Kazuar: a Microsoft Threat Intelligence revelou nesta quinta-feira (15) que a ferramenta foi reescrita como uma botnet peer-to-peer modular, projetada para operar de forma silenciosa, distribuir tarefas entre hosts comprometidos e sustentar acesso de longo prazo a alvos governamentais, diplomáticos e de defesa na Europa e Ásia Central.

O que aconteceu

Pesquisadores da Microsoft documentaram uma transformação significativa no Kazuar, malware historicamente associado ao Turla — também rastreado pela comunidade como Secret Blizzard, Snake, Venomous Bear, Uroburos, Pensive Ursa e WRAITH. O grupo, considerado uma das operações de espionagem cibernética mais sofisticadas patrocinadas pelo Kremlin, passou a empregar uma versão modular do backdoor capaz de formar uma rede peer-to-peer entre máquinas comprometidas dentro de um mesmo ambiente.

O Turla é conhecido por encadear suas operações com atividades atribuídas ao Aqua Blizzard (também conhecido como Actinium ou Gamaredon), reaproveitando endpoints previamente comprometidos por outros grupos russos para apoiar objetivos estratégicos do governo russo. Esse padrão de coabitação em redes-alvo confere ao grupo persistência prolongada e dificulta o trabalho de atribuição e de remediação.

A entrega do novo Kazuar tem sido feita por meio de droppers como Pelmeni e ShadowLoader, responsáveis por descriptografar e ativar os módulos diretamente em memória. Essa cadeia reduz artefatos em disco e aumenta a dificuldade para soluções de EDR identificarem o comprometimento em estágios iniciais.

Como o ataque funciona

A nova arquitetura é dividida em três tipos de módulos — Kernel, Worker e Bridge — que se comunicam tanto entre si quanto com a infraestrutura controlada pelos atacantes. O módulo Kernel concentra três métodos internos de comunicação (Windows Messaging, Mailslot e named pipes) e três caminhos externos (Exchange Web Services, HTTP e WebSockets), o que permite ao malware adaptar-se a diferentes posturas de filtragem de rede.

Um detalhe operacional curioso é a existência de uma “eleição” interna entre módulos Kernel. Em um host com várias instâncias rodando, apenas um módulo é eleito líder e fica responsável por dialogar com o módulo Bridge, enquanto os demais entram em modo SILENT. O critério de eleição combina tempo de execução do módulo com número de interrupções (reinícios, logoffs, processos finalizados), funcionando como uma métrica rudimentar de estabilidade do host.

“Esta atualização está alinhada ao objetivo maior do Secret Blizzard de manter acesso de longo prazo a sistemas para coleta de inteligência”, afirmou a equipe da Microsoft Threat Intelligence em seu relatório.

Os módulos Worker fazem o trabalho pesado: coletam dados, agregam, cifram e gravam tudo em um diretório de trabalho dedicado. A partir desse staging local, as informações são exfiltradas para o servidor de comando e controle. O diretório é definido por configuração e referenciado sempre por caminhos absolutos, evitando ambiguidade entre diferentes contextos de execução.

Quem é afetado

O perfil histórico de vítimas do Turla aponta para alvos de altíssimo valor estratégico. Entre os setores e perfis com maior probabilidade de exposição estão:

• Órgãos governamentais e ministérios em países da Europa e Ásia Central
• Embaixadas, consulados e missões diplomáticas
• Contratantes da indústria de defesa e fornecedores militares
• Centros de pesquisa estratégica e think tanks
• Organizações já comprometidas por outros grupos APT russos (especialmente Gamaredon)

Análise

A migração do Kazuar para uma arquitetura P2P modular não é apenas uma evolução técnica — é uma resposta direta ao endurecimento das capacidades defensivas em ambientes corporativos e governamentais nos últimos três anos. Ao distribuir tarefas e canais de comunicação entre múltiplos módulos em hosts diferentes, o Turla reduz o número de conexões diretas com a internet por máquina comprometida, dificultando análises baseadas em comportamento de rede e regras estáticas de detecção.

É um padrão que ecoa o que vimos em famílias como Sliver, Cobalt Strike modificado e até em campanhas mais recentes do grupo APT29 (Midnight Blizzard): a tendência clara é abandonar implantes monolíticos em favor de frameworks fragmentados que podem ser remontados em diferentes combinações. O diferencial do Turla é o nível de engenharia operacional — a “eleição” de líder entre módulos Kernel lembra mais um sistema distribuído de produção do que um malware tradicional, sinalizando equipes de desenvolvimento de software dedicadas operando dentro do FSB.

Para times de detecção, o recado é claro: hunting baseado apenas em IOCs (hashes, IPs, domínios) está cada vez mais limitado. A camada onde esses implantes ainda deixam pegadas é em padrões de uso de Windows Messaging, Mailslot e named pipes — primitivas de IPC raramente monitoradas e que poucos EDRs telemetram de forma profunda.

Recomendações práticas

• Habilitar telemetria detalhada de criação de named pipes e Mailslot via Sysmon (eventos 17 e 18) e revisar regularmente eventos com nomes não usuais ou padrões pseudoaleatórios
• Monitorar tráfego de Exchange Web Services e WebSockets saindo de estações de trabalho que historicamente não consomem essas APIs
• Mapear processos que mantêm múltiplas threads de IPC interno em paralelo — comportamento atípico em aplicações legítimas
• Auditar diretórios de trabalho criados em locais incomuns sob ProgramData, AppData e %TEMP%, com atenção a árvores de subpastas organizadas por função
• Para organizações em setores-alvo, considerar threat hunting proativo focado em TTPs conhecidos do Turla mapeados ao MITRE ATT&CK (G0010)
• Reforçar controles de segmentação interna: a arquitetura P2P depende de comunicação lateral entre hosts comprometidos

Fonte: The Hacker News