据观察，名为Turla的俄罗斯网络间谍组织捎带了十年前的恶意软件使用的攻击基础设施，向乌克兰的目标提供自己的侦察和后门工具。

谷歌近期刚收购的Mandiant公司正在以未分类的集群绰号UNC4210跟踪该操作，该公司表示，被劫持的服务器对应于2013年上传到VirusTotal的名为ANDROMEDA（又名Gamarue）的商品恶意软件的变种。

Mandiant研究人员在上周发表的一项分析中说：“UNC4210重新注册了至少三个过期的ANDROMEDA命令和控制（C2）域，并开始分析受害者，以便在2022年9月有选择地部署KOPILUWAK和QUIETCANARY。

Turla，也被称为钢铁猎手、氪星、乌罗布罗斯、毒熊和水虫，是一个精英民族国家组织，主要攻击目标是针对使用大量自定义恶意软件的政府、外交和军事组织。

自 2022 年 2 月俄罗斯开始军事入侵乌克兰以来，对抗性集体与一系列针对该国实体的凭证网络钓鱼和侦察工作有关。

2022 年 7 月，谷歌威胁分析小组 （TAG） 透露，Turla 创建了一个恶意的 Android 应用程序，据称是为了“帮助”亲乌克兰的黑客行动主义者对俄罗斯网站发起分布式拒绝服务（DDoS）攻击。