Turla (tiếng Nga) là một tác nhân đe dọa được biết đến với các chiến thuật trộm cắp dữ liệu bí mật như sử dụng các kết nối vệ tinh bị tấn công, waterholing các trang web của chính phủ, sử dụng kênh bí mật cửa hậu, rootkits, và các chiến thuật lừa đảo khác. Nguồn gốc của nhóm bắt nguồn từ Agent.BTZ nổi tiếng một thời, một loại virus máy tính có khả năng tự tái tạo cũng như quét và đánh cắp dữ liệu. Virus này từng được sử dụng để làm tê liệt quân đội Hoa Kỳ trong một thời gian ngắn và được một quan chức cấp cao của Lầu Năm Góc mô tả là "vụ vi phạm nghiêm trọng nhất đối với máy tính của quân đội Hoa Kỳ từ trước đến nay".[8] Điều này cho thấy nhóm nổi lên vào khoảng năm 2006–2007, một vài năm trước Agent.BTZ và gần 10 năm sau các sự kiện của Moonlight Maze. Tuy nhiên, nhiều năm sau thông tin đó mới xuất hiện tạo mối liên kết giữa Turla với Moonlight Maze. Một nhóm bao gồm Kaspersky's Guerrero-Saade, Costin Raiu, King's College London's Thomas Rid và Danny Moore đã lần theo dấu vết của một quản trị viên CNTT đã nghỉ hưu, người này là chủ sở hữu của một máy chủ năm 1998 đã được sử dụng làm proxy cho Moonlight Maze.[3] Đây là một bước đột phá lớn sau khoảng thời gian dài được cho là không hoạt động (gần 20 năm) của Turla. Sau đó, họ sử dụng máy chủ để theo dõi tác nhân đe dọa và từ đó họ có thể truy xuất nhật ký đầy đủ về mã của kẻ tấn công. Gần một năm sau khi phân tích kỹ lưỡng, họ có thể tìm thấy mối liên hệ giữa Các mẫu Linux ở Turla và Moonlight Maze đã sử dụng (mã mà họ chia sẻ có liên quan đến một cửa hậu được sử dụng trên LOKI 2, một chương trình tạo đường hầm thông tin được phát hành vào năm 1996).