ESET安全研究人員指出，疑似有俄方背景的黑客組織Turla，正在利用前所未有的方式，存儲惡意軟件竊取來的相關數據。此前有研究稱Turla涉嫌在歐盟外交機構部署了後門程序，並竊取了敏感文件。此外在2015到2020年初的活動中，該組織還利用了此前未知的Crutch惡意軟件框架。

Crutch惡意軟件架構圖（來自：ESET）

ESET 安全研究人員Matthieu Faou 在今日公佈的一份報告中稱：“攻擊的複雜性和已發現的技術細節，進一步增強了我們對Turla 組織擁有大量資源來運營如此龐大而多樣化的網絡攻擊武器庫的看法”。

此外Crutch 甚至能夠濫用合法的基礎架構（本文以Dropbox 網盤為例）來繞過某些安全層，以便將自身隱於正常的網絡流量，從操作者手上接收命令並竊取機密文檔。

之所以懷疑Turla 有俄方背景，是因為ESET 研究人員發現Crutch 與2016~2017 年間的Gazer 網絡安全威脅有相似之處。

其使用了相同的RC4 密鑰來解密有效負載，且應用了與2017 年9 月的一台受感染的計算機上幾乎相同的PDB 路徑和文件名。

基於此，Matthieu Faou 認為Crutch 只是Turla 網絡攻擊武器庫家族的其中一部分。

此外根據2018 年10 月~ 2019 年7 月間500 多個被盜上傳至Dropbox 賬戶的ZIP 存檔文件時間戳，Crutch 幕後操作者的工作時間，也與俄羅斯地區的UTC +3 時區保持一致。