據(jù)外媒報道，賽門鐵克（Symantec）報告稱，最近與俄羅斯網(wǎng)絡(luò)間諜組織Turla有關(guān)的三場黑客活動使用了不同的工具。Turla也被稱為Waterbug、KRYPTON和VenomousBear，已活躍10多年，主要從事網(wǎng)絡(luò)間諜活動。

該組織最近進行了至少三次不同的黑客活動，每一次都使用了不同的工具集。第一場活動中使用了名為Neptun的后門，該后門安裝在Microsoft Exchange服務(wù)器上，可以下載額外的工具、上傳被盜文件，并執(zhí)行shell命令。第二場活動使用了修改版的Meterpreter后門，以及兩個自定義加載器——一個名為photobased.dll的自定義后門和自定義遠程過程調(diào)用（RPC）后門。第三場活動中，黑客使用了自定義RPC后門（與第二個活動中觀察到的版本不同），它使用了來自PowerShellRunner工具的代碼來執(zhí)行PowerShell腳本和繞過檢測。

自2018年初以來，Turla曾對10個國家的13個組織發(fā)起了攻擊，其中一次行動中使用了伊朗間諜組織OilRig (APT34, Crambus)的工具。這是賽門鐵克首次觀察到一個黑客組織劫持并使用另一個組織的工具。目前仍難以確定黑客組織背后的動機。