¿Por qué Turla es considerado el APT más sofisticado?

Por tres razones: 1) Longevidad: activo desde 1996, más de 25 años sin interrupción. 2) Innovación: primer uso de satellite hijacking para C2, rootkits kernel, inyección en satélites de comunicación. 3) OPSEC: operaciones de años sin detección, limpieza de rastros meticulosa.

¿Qué es el satellite hijacking de Turla?

Turla secuestraba conexiones de satélite de Internet (DVB-S) para usarlas como canal C2. Interceptaba el tráfico descendente del satélite para recibir comandos sin pagar por el servicio ni ser rastreable. El tráfico ascendente iba por canales normales. Era prácticamente imposible de bloquear o rastrear.

¿Turla sigue activo en 2025-2026?

Sí. En 2023, CISA y FBI anunciaron el desmantelamiento de la red Snake (su principal implant). Sin embargo, Turla ha resurgido con nuevas herramientas (Kazuar v2, DeliveryCheck, Capibar) contra Ucrania y aliados OTAN.

AvanzadoTurlaRusiaFSBespionajerootkitthreat actor

Turla (Snake): 25 Años de Espionaje del FSB Ruso

Perfil técnico de Turla (Snake/Venomous Bear/Secret Blizzard): grupo del FSB ruso con 25 años de operaciones. El APT más sofisticado y sigiloso. Satellite hijacking, Snake rootkit, Kazuar, y operaciones contra embajadas y gobierno.

MalwareIntel Research·27 de mayo de 2026·6 min lectura

Serie: APTs y Threat Actors — Parte 6

Turla es el grupo de espionaje más longevo y técnicamente sofisticado del panorama APT

Turla (Snake, Venomous Bear, Secret Blizzard) es un grupo de ciberespionaje adscrito al Centro 16 del FSB (Servicio Federal de Seguridad de Rusia, sucesor del KGB). Activo desde al menos 1996, es el APT con el historial más largo de operaciones continuas. Su arsenal incluye rootkits kernel, satellite hijacking para C2, y técnicas de steganografía que demuestran un nivel de ingeniería que pocos grupos alcanzan.

Ficha del grupo

Campo	Detalle
MITRE ID	G0010
Nombres	Snake, Venomous Bear, Secret Blizzard, Uroburos, Waterbug, Krypton, Iron Hunter
Atribución	FSB Center 16 (antes Center 18), Rusia
País	Rusia
Motivación	Espionaje político, diplomático, militar
Activo desde	1996 (Moonlight Maze), confirmado 2004+
Nivel	Tier 1 (elite): rootkits, satellite C2, 25+ años de operaciones
Sectores	Gobierno, embajadas, defensa, investigación, OTAN
Regiones	Europa, Oriente Medio, Asia Central, EEUU

Arsenal: herramientas de 25 años

Evolución cronológica

1996-2003: Moonlight Maze / Agent.BTZ era
  → Primer acceso a redes militares US (Pentágono)
  → Agent.BTZ: worm USB que comprometió redes del DoD (2008)

2004-2014: Snake/Uroburos era
  → Snake: rootkit kernel Windows (el más sofisticado de su época)
  → Uroburos: nombre alternativo del rootkit Snake
  → Satellite hijacking para C2

2014-2020: Modernización
  → Carbon: framework de espionaje modular
  → Kazuar: backdoor .NET multiplataforma
  → Gazer: backdoor con C2 sobre WordPress comprometidos
  → Mosquito: backdoor con C2 sobre dominios legítimos

2020-2026: Era Ucrania
  → Capibar: credential stealer contra entidades ucranianas
  → DeliveryCheck: backdoor para campañas de phishing
  → Kazuar v2: versión mejorada con anti-analysis
  → Pelmeni wrapper: loader obfuscado

Herramientas principales

Herramienta	Tipo	Innovación
Snake/Uroburos	Rootkit kernel	P2P mesh network entre implants, cifrado custom
Carbon	Framework modular	Arquitectura plugin, task queue, múltiples C2
Kazuar	Backdoor .NET	Multiplataforma, anti-analysis, C2 flexible
Gazer	Backdoor	C2 sobre blogs WordPress comprometidos
LightNeuron	Exchange backdoor	Intercepta y manipula emails en Exchange Server
Mosquito	Installer	Abusa del instalador de Adobe Flash
Crutch	Backdoor	Usa Dropbox como C2 y exfiltración
ComRAT v4	RAT	Usa Gmail como C2 channel (web interface)

Innovaciones técnicas de Turla

Satellite hijacking (2007-2015)

Turla interceptaba conexiones de satélite DVB-S (Digital Video Broadcasting):

Víctima real usa Internet por satélite (señal descendente no cifrada)
  ↓
Turla monitoriza el tráfico descendente del satélite
  ↓
Turla envía paquetes spoofed al C2 usando IPs del pool del ISP satelital
  ↓
Las respuestas del C2 llegan via el satélite (tráfico descendente)
  ↓
Turla captura las respuestas con su antena
  ↓
Resultado: C2 prácticamente irrastreable (señal viene del satélite,
no de una IP fija en Internet)

P2P mesh network (Snake)

Los implants Snake en una red comprometida formaban una red P2P:

Solo uno necesitaba acceso a Internet (C2 node)
Los demás se comunicaban entre sí via named pipes o TCP interno
Si el C2 node se desconectaba, otro asumía el rol
La red era resiliente a desconexiones parciales

Hijacking de otros APTs

En 2019, NSA/GCHQ revelaron que Turla había comprometido la infraestructura de OilRig (APT34, Irán) y la usaba para sus propias operaciones. Turla hackeaba a otros hackers para usar sus accesos.

Campañas documentadas

Moonlight Maze (1996-2000)

Una de las primeras operaciones de ciberespionaje documentadas. Comprometió redes del Pentágono, NASA, DoE de EEUU durante años. La conexión con Turla fue establecida retrospectivamente por Kaspersky en 2017.

Agent.BTZ (2008)

Worm que se propagaba via USB. Comprometió redes clasificadas del Departamento de Defensa de EEUU. El incidente llevó a la creación del US Cyber Command.

Snake network (2004-2023)

Red de implants Snake desplegados en más de 50 países durante casi 20 años. En mayo 2023, FBI y CISA ejecutaron "Operation MEDUSA" para desmantelar la red, inyectando un kill command en los implants Snake.

LightNeuron vs MFA (2018)

LightNeuron se instalaba como Transport Agent de Microsoft Exchange. Interceptaba TODOS los emails del servidor y podía: leer, modificar, bloquear, o redirigir emails. El C2 recibía instrucciones ocultas en adjuntos de email (steganografía en imágenes JPG).

Campañas Ucrania (2022-2026)

Turla intensificó operaciones contra Ucrania: gobierno, defensa, embajadas. Nuevas herramientas (Capibar, DeliveryCheck, Kazuar v2) diseñadas específicamente para este teatro.

Técnicas ATT&CK principales

Táctica	Técnica	ID	Innovación Turla
Persistence	Rootkit	T1014	Snake kernel rootkit (P2P mesh)
Persistence	Server Software Component	T1505	LightNeuron en Exchange
Defense Evasion	Steganography	T1027.003	Comandos ocultos en imágenes JPG
C2	Web Service	T1102	Gmail, Dropbox, WordPress como C2
C2	Non-Standard Port	T1571	Satellite DVB-S hijacking
C2	Multi-Stage Channels	T1104	Named pipes P2P + HTTP externo
Resource Development	Compromise Infrastructure	T1584	Hackear APT34 (OilRig) para usar su infra
Collection	Email Collection	T1114	LightNeuron intercepta Exchange

Detección

Indicadores

Snake rootkit:
  - Driver kernel no firmado por Microsoft
  - Named pipes con nombres específicos de Snake
  - Tráfico P2P interno cifrado en puertos no estándar

LightNeuron:
  - Transport Agent no estándar en Exchange
  - DLLs desconocidas en directorio Exchange
  - Emails con imágenes JPG que contienen datos steganográficos

Kazuar:
  - .NET assemblies anómalas cargadas en memoria
  - C2 sobre servicios cloud legítimos
  - Anti-VM y anti-debug checks

Prevención

Exchange security: monitorizar Transport Agents, auditar DLLs
Kernel integrity: Secure Boot, driver signing enforcement
Network P2P: detectar tráfico cifrado interno no habitual
Email steganography: analizar adjuntos con entropy analysis
USB control: Agent.BTZ se propagó por USB, device policies

Conclusión

Turla es la referencia de excelencia en ciberespionaje. 25 años de operaciones continuas, innovaciones técnicas (satellite hijacking, P2P rootkit mesh, hackeo de otros APTs), y un OPSEC que requirió una operación conjunta FBI/CISA para desmantelar su red principal. Para analistas de CTI, Turla es el estándar contra el que se mide la sofisticación de otros grupos.

Fuentes y referencias

MITRE ATT&CK: Turla (G0010)
FBI/CISA: "Operation MEDUSA" (Snake disruption, 2023)
Kaspersky: "The Epic Turla Operation" (2014)
ESET: "Turla LightNeuron" (2019)
Kaspersky: "Moonlight Maze to Turla" connection (2017)
Symantec: "Waterbug: Espionage Group Rolls Out Brand-New Toolset" (2019)