Een groepering van criminele hackers die banden zou hebben met de Russische overheid heeft infrastructuur gebruikt van een Iraanse groepering die hier geen weet van had, zo claimen de NSA en het Britse National Cyber Security Centre.
De Amerikaanse inlichtingendienst NSA heeft samen met de Britse evenknie NCSC een document gepubliceerd over de groepering met de naam Turla, ook bekend onder de namen Waterbug en Venomous Bear. Het gaat hierbij volgens de diensten om een advanced persistent threat, meestal een staatshackinggroep, uit Rusland. Turla zou gebruikmaken van de implants Neuron en Nautilus en de bijbehorende command & control-infrastructuur.
De Amerikaanse en Britse inlichtingendiensten publiceerden in 2017 en 2018 ook al over het gebruik van Neuron en Nautilus door de Turla-apt maar ze houden de groepering zelf al veel langer in de gaten. De NSA en NCSC melden nu dat deze malware waarschijnlijk Iraans van origine is. De Iraanse groepering die verantwoordelijk is voor de implants, was zich vrijwel zeker niet bewust van het gebruik door Turla, luidt de claim.
Turla zou scans uitgevoerd hebben om te achterhalen waar de Iraanse backdoors zich bevonden om zich vervolgens zelf op deze doelwitten te richten. De activiteit zou zich met name in het Midden-Oosten afgespeeld hebben en onder de doelwitten van Neuron en Nautilus zouden militaire faciliteiten, overheidsorganisaties, wetenschappelijke instituten en universiteiten zijn.
Om een beveiligde verbinding op te kunnen zetten met de implants, moet Turla toegang hebben gehad tot de cryptografische sleutels en controllersoftware, concluderen de NSA en NCSC. Daarnaast zou de groep doelwitten waar het al toegang toe had via zijn eigen Snake-toolkit voorzien hebben van de Neuron-malware.