Segundo os investigadores, enquanto o Gamaredon compromete centenas ou milhares de sistemas, o Turla mostra interesse apenas em alvos muito específicos, geralmente com informação de alto valor. Esta colaboração foi confirmada por indicadores técnicos, incluindo a execução da backdoor Kazuar v3 do Turla através de ferramentas do Gamaredon, como o PteroGraphin, PteroOdd e PteroPaste, numa operação detetada no início de 2025.
O Kazuar, em particular, é um implante avançado usado exclusivamente pelo Turla desde 2016. Outros malwares do Gamaredon, como o PteroLNK, o PteroStew e o PteroEffigy, também foram observados nestas campanhas, reforçando o papel deste grupo como responsável pelo acesso inicial, frequentemente obtido via spearphishing e ficheiros LNK maliciosos.
Organizacionalmente, ambos os grupos têm ligações a diferentes centros do FSB: o Gamaredon ao Centro 18, baseado na Crimeia, e o Turla ao Centro 16, especializado em inteligência de sinais. Esta partilha de esforços parece refletir uma continuidade histórica de cooperação entre entidades russas, intensificada desde a invasão da Ucrânia em 2022.
Com atividade conhecida desde 2013, o Gamaredon tem sido particularmente agressivo contra instituições governamentais ucranianas. Já o Turla, ativo desde pelo menos 2004, é um grupo de ciberespionagem notório, tendo realizado ataques de alto perfil a governos e organizações internacionais, incluindo o Pentágono em 2008 e a empresa suíça RUAG em 2014.
As descobertas da ESET confirmam uma convergência operacional significativa, mostrando que os dois grupos, embora distintos, colaboram ativamente em missões de espionagem contra alvos de grande importância estratégica, sobretudo no setor da defesa ucraniano.
