Il gruppo di cyber sicurezza avanzato noto come Turla, collegato alla Russia, è stato recentemente associato a una campagna non documentata che ha sfruttato i server di comando e controllo (C2) di un gruppo di hacker con base in Pakistan, conosciuto come Storm-0156. Questa operazione, iniziata nel dicembre 2022, rappresenta un ulteriore esempio di come Turla si infiltri nelle operazioni di altri gruppi per perseguire i propri obiettivi e confondere gli sforzi di attribuzione.

Lumen Technologies Black Lotus Labs ha osservato che Turla, conosciuta anche con altri nomi come Blue Python e Secret Blizzard, ha inizialmente ottenuto accesso a un server C2 di Storm-0156, espandendo successivamente il controllo su diversi server C2 collegati a Storm-0156. Turla ha sfruttato questo accesso per implementare famiglie di malware personalizzati, come TwoDash e Statuezy, in reti selezionate di enti governativi afghani. TwoDash è un downloader su misura, mentre Statuezy è un trojan che monitora e registra i dati salvati negli appunti di Windows.

Il team di Microsoft Threat Intelligence, che ha esaminato la campagna, ha evidenziato che l'infrastruttura di Storm-0156 sovrappone le attività a gruppi come SideCopy e Transparent Tribe. Turla, considerata affiliata al Servizio di Sicurezza Federale Russo (FSB), utilizza un insieme diversificato e sofisticato di strumenti, tra cui Snake, ComRAT e Kazuar, per colpire principalmente organizzazioni governative, diplomatiche e militari.

Una caratteristica distintiva di Turla è la capacità di dirottare l'infrastruttura di altri attori di minaccia per i propri scopi. Ad esempio, nel 2019, i governi del Regno Unito e degli Stati Uniti hanno scoperto che Turla aveva sfruttato le backdoor di un attore iraniano per soddisfare le proprie necessità di intelligence. Più recentemente, Turla ha utilizzato l'infrastruttura di Storm-0156 per distribuire backdoor sui dispositivi governativi afghani e per ospitare dati esfiltrati da istituzioni indiane legate alla difesa.

La compromissione dei server C2 di Storm-0156 ha permesso a Turla di prendere controllo di backdoor come Crimson RAT e un impianto Golang non documentato chiamato Wainscot. Microsoft ha osservato che Turla ha utilizzato un'infezione Crimson RAT per scaricare ed eseguire TwoDash nell'agosto 2024. Accanto a TwoDash, è stato distribuito un altro downloader personalizzato, MiniPocket, che si collega a un indirizzo IP/porta codificato per eseguire un binario di seconda fase.

Questa tattica consente a Turla di raccogliere informazioni sui target di Storm-0156 nel Sud Asia senza attaccare direttamente quelle organizzazioni. Tuttavia, le informazioni raccolte possono non allinearsi completamente con le priorità di raccolta di Turla, poiché queste sono state inizialmente stabilite da un altro attore di minaccia.