Istraživači kompanije Kaspersky Lab koji prate različite klastere dugogodišnjeg aktera pretnji sa ruskog govornog podrčja - Turla (poznatije i kao Snake ili Uroburos), otkrili su da je najnovija evolucija malvera KopiLuwak isporučena žrtvama koristeći kod koji je gotovo identičan onom koji je samo mesec dana ranije upotrebila operacija Zebrocy, podskup grupe Sofacy (poznate i kao Fancy Bear i APT28) - još jednog poznatog aktera pretnji sa ruskog govornog područja. Istraživači su takođe pronašli ciljno preklapanje između ove dve pretnje, fokusirano na geopolitičke tokove u centralnoj Aziji i osetljive vladine i vojne entitete. Ovi nalazi su uključeni u pregled najnovije evolucije i aktivnosti četiri aktivna klastera pripisanih akteru pretnji pod nazivom Turla, koji je danas objavio tim za globalna istraživanja i analize kompanije Kaspersky Lab. KopiLuwak (ime potiče do retke vrste kafe), prvi put otkriven u novembru 2016. godine, isporučio je dokumente koji sadrže malver i mogućnost instaliranja macro malvera koji su doneli novi, izuzetno dobro kamufliran (obfu) malver za Javascript dizajniran za izviđanje sistema i mreže. Najnovija evolucija malvera KopiLuwak zabeležena je sredinom 2018. godine, kada su istraživači primetili nove mete u Siriji i Avganistanu. Turla je koristila novi ”spear-phishing” vektor dostave sa Windows prečicama (.LNK).
Analiza je pokazala da LNK datoteka sadrži PowerShell koji dekodira i ubacuje malver KopiLuwak na računar. Ovaj PowerShell je gotovo identičan onome koji je korišćen u Zebrocy aktivnostima mesec dana ranije.