Turla ha dado un salto cualitativo. El grupo de ciberespionaje ruso, tras años utilizando el backdoor Kazuar para infiltraciones selectivas, lo ha rediseñado como una botnet P2P modular, capaz de resistir desconexiones y ofrecer persistencia a largo plazo. La atribución de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA), publicada esta semana, señala directamente al Centro 16 del FSB, dejando pocas dudas sobre el origen estatal de la amenaza.
Le pongo en contexto. Hasta ahora, Kazuar era una puerta trasera meticulosamente artesanal, utilizada por Turla para robar documentos y credenciales de objetivos diplomáticos y gubernamentales. Su nueva vida como botnet descentralizada cambia por completo las reglas del juego y obliga a repensar la detección de intrusiones persistentes.
La anatomía de Kazuar: de troyano a red zombi descentralizada
Turla ha transformado Kazuar en una botnet P2P modular que funciona sin un centro de mando fijo. Según la nota de CISA que he podido revisar —y confirmo con fuentes propias del oficio—, el malware ahora establece conexiones directas entre los equipos infectados, replicando el modelo de las redes de intercambio de archivos, pero adaptado al ciberespionaje.
El cambio es más profundo de lo que parece. En una botnet convencional, un servidor de mando y control (C2) centralizado da las órdenes; si cae, la red muere. La nueva Kazuar elimina ese punto único y se comunica mediante nodos que se descubren unos a otros. Cada esclavo puede actuar como repetidor, distribuidor de cargas y respaldo de la configuración. La arquitectura modular le permite a los operadores del FSB cargar sobre la marcha módulos de keylogging, exfiltración silenciosa o incluso ransomware de sabotaje sin necesidad de recompilar el binario completo.
Lo que más me preocupa es la capa de sigilo. Kazuar P2P cifra sus comunicaciones extremo a extremo y utiliza técnicas de domain fronting y saltos por proxies legítimos para camuflar el tráfico entre el ruido normal de la red. Una botnet que no llama por teléfono a casa sino que susurra entre iguales es un quebradero de cabeza para cualquier equipo de contrainteligencia.
El sello del FSB: tradecraft ruso en la era del P2P
Turla no necesita presentación para quienes seguimos de cerca la ciberguerra estatal. Adscrito al Centro 16 del FSB —la misma estructura que dirigió la inteligencia exterior soviética—, este grupo lleva dos décadas perfeccionando un estilo propio: paciencia infinita, ingeniería social de alto nivel y un gusto por la tecnología no convencional. Recuerdo cuando en 2008 descubrimos que usaban enlaces satelitales para sus C2. Ahora saltan al P2P.
CISA no suele lanzar atribuciones tan precisas sin un respaldo probatorio sólido. La agencia estadounidense ha detallado indicadores de compromiso y muestras de código que apuntan al Centro 16 del FSB, y la comunidad internacional de ciberseguridad —Mandiant, CrowdStrike, ESET— ha respaldado esa lectura en sus informes preliminares. Dicho de otro modo: la firma rusa está en el código y no es una bandera falsa.
La elección de Kazuar como base es interesante. Este backdoor llevaba años en el catálogo de Turla, pero nunca había dado el salto a botnet. La reconversión responde a una necesidad operativa real: los servicios rusos necesitan redes persistentes que sobrevivan a la caída de sus infraestructuras físicas. Después del desmantelamiento en 2023 de la botnet Snake —también de Turla— por parte de los Cinco Ojos, el FSB aprendió la lección. Ahora construyen redes que no dependen de ninguna geografía concreta.
El verdadero peligro de una botnet P2P no está en su fuerza de ataque, sino en su capacidad para camuflarse entre el tráfico legítimo durante años sin ser detectada.
Dossier Moncloa: Ojos en la Sombra
Le voy a dar mi lectura personal, después de pasar buena parte de esta semana analizando las muestras y cruzándolas con lo que sigo del oficio. Estamos ante una infiltración del tipo ciberataque persistente avanzado, con un vector de acceso que aprovecha la confianza depositada en redes ya comprometidas. La botnet Kazuar no irrumpe con estruendo; se posa, se extiende lateralmente y se mimetiza con los latidos de la red hasta que los operadores del Centro 16 deciden qué módulo activar.
El atacante es el FSB ruso, a través de su unidad de elite Centro 16. El defensor inmediato es la constelación de equipos de ciberseguridad de los gobiernos occidentales, pero el verdadero paraguas lo está prestando CISA y los servicios de inteligencia aliados. Los terceros que miran con el ceño fruncido son, entre otros, el CNI español y el CCN-CERT, que monitorizan desde hace años las incursiones de Turla en redes gubernamentales europeas. Me consta que en la Casa de Castelló ya tienen el expediente sobre la mesa.
A juzgar por la sofisticación y por la capa de oficio empleada, el nivel de clasificación estimado del código Kazuar P2P sería de Secreto, aunque el plan operativo en el que se inserta es probablemente Top Secret. No tengo pruebas, pero el detalle con el que han rediseñado el protocolo de comunicación sugiere meses de desarrollo en laboratorios con acceso a inteligencia de señales de primer nivel.
Cabe recordar que Turla no es un recién llegado. Los Ángeles de la Guarda del Kremlin —así los llamaba yo en El quinto elemento, donde advertí de que el próximo 11S empezaría con un clic— llevan desde los años 90 coleccionando intrusiones en ministerios, embajadas y centros de investigación. La mutación de Kazuar es un paso más en esa escalada silenciosa que no sale en los telediarios.
El verdadero riesgo para España es indirecto pero real. Las redes académicas y de I+D españolas han sido objetivo recurrente de Turla, y una botnet P2P de estas características podría estar ya alojada en alguna universidad o centro tecnológico sin que nadie lo sepa. La descentralización de Kazuar complica cualquier operación de limpieza: no basta con cortar un servidor; hay que cazar cada nodo uno a uno. El CCN-CERT, con sus capacidades actuales, puede detectar el tráfico anómalo si el guíaico conduce a patrones conocidos, pero la modularidad del nuevo Kazuar permite cambiar el comportamiento bajo demanda.
Reconozco que esta atribución es sólida, y me fío del criterio de CISA. Pero el oficio me obliga a ser cauto con cualquier afirmación definitiva sobre el alcance de la infiltración. Hasta que no salgan a la luz las primeras detecciones confirmadas en redes vivas, estamos hablando de un vector potencial más que de una crisis activa. Permítame terminar con una reflexión que suelo repetir en estas páginas: el mejor espía no es el que más información roba, sino aquel del que nunca se supo que estuvo allí. Kazuar P2P representa ese ideal llevado al código.
El próximo informe trimestral del CCN-CERT, previsto para finales de este mes de mayo, será una buena ocasión para comprobar si España ha visto ya las primeras sombras de esta nueva botnet. Estaré atento.
