据观察，名为Turla的俄罗斯网络间谍组织搭载了一种已有十年历史的恶意软件所使用的基础设施，向乌克兰目标投递侦察和后门工具。

安全厂商Mandiant 正在跟踪UNC4210黑客团队的活动，称被劫持的服务器对应于 2013 年上传到 VirusTotal的商业木马变体，称为ANDROMEDA （又名 Gamarue）。

UNC4210 重新注册了至少三个过期的 ANDROMEDA 命令和控制 (C2) 域，并开始对受害者进行分析，以便在 2022 年 9 月有选择地部署 KOPILUWAK 和 QUIETCANARY。

Turla，也被称为 Iron Hunter、Krypton、Uroburos、Venomous Bear 和 Waterbug，主要针对政府、外交和军事组织。这个组织与一系列凭证网络钓鱼和侦察工作有关。

在 Mandiant 分析的事件中，据说 2021 年 12 月在一个未具名的乌克兰组织中插入了一个受感染的 U 盘，最终导致启动(.LNK) 文件在目标主机部署后门组件。

Turla 使用的技巧与此前有关该组织在俄乌冲突期间进行广泛的受害者分析工作的报道相吻合，这可能有助于它调整后续的利用工作，以获取俄罗斯感兴趣的信息。