Google detalla la nueva puerta trasera STOCKSTAY de Turla utilizada en ataques de espionaje en Ucrania

El actor de amenazas patrocinado por el estado ruso conocido como Turla ha sido atribuido a una puerta trasera .NET previamente indocumentada llamada ESTANCIA EN STOCK que se ha desplegado contra organizaciones gubernamentales y militares en Ucrania, y entidades que tienen intereses en la política exterior italiana.

Al describir la puerta trasera de Windows como desarrollada continuamente por el grupo de piratería, Google Threat Intelligence Group (GTIG) dijo que la herramienta de ciberespionaje comparte código significativo y superposiciones funcionales con Kazuar, un implante básico utilizado por el adversario desde 2017. La actividad de desarrollo sospechada de malware se remonta a diciembre de 2022.

«STOCKSTAY es una puerta trasera multicomponente escrita en .NET, que utiliza el marco Windows Forms, que se comunica con su comando y control (C2) a través de una conexión WebSocket segura, utilizando el código abierto. websocket-nítido biblioteca», GTIG dicho.

«STOCKSTAY consta de varios componentes distintos que se comunican entre sí a través de un canal de comunicación entre procesos (IPC), basado en el intercambio de WM_COPYDATA mensajes.»

Ciberseguridad

La evidencia indica que el implante fue diseñado originalmente para imitar una herramienta de visualización de datos del mercado de valores, antes de ser adaptado para hacerse pasar por otros programas inofensivos como visores de PDF y utilidades de calculadora. El punto de partida es un componente de descarga con nombre en código STOCKSTAY.MARKETMAKER que instala y ejecuta tres módulos adicionales:

  • STOCKSTAY.BROKER DE BOLSAun tunelizador con reconocimiento de proxy que facilita las capacidades de comunicación de red a la suite STOCKSTAY más amplia al establecer una conexión WebSocket segura a un servidor remoto específico.
  • STOCKSTAY.STOCKTRADERla principal puerta trasera que permite la recopilación de información.
  • STOCKSTAY.BOLSAun orquestador o controlador que analiza la configuración de la puerta trasera para establecer varias opciones con respecto a la ejecución del malware, como el servidor WebSocket, el intervalo de tiempo y los días en los que se supone que no debe funcionar. También se comunica con STOCKSTAY.STOCKBROKER para proporcionar los detalles del servidor y recibir mensajes a través de la conexión WebSocket establecida, así como con STOCKSTAY.STOCKTRADER para emitir comandos que se ejecutarán en el host comprometido.
Arquitectura del malware STOCKSTAY

Algunos de los comandos de soporte de STOCKSTAY.STOCKTRADER se enumeran a continuación:

  • Del, para eliminar los archivos especificados
  • Dir, para enumerar los directorios especificados.
  • Obtener, para recuperar uno o más archivos específicos que coincidan con ciertas extensiones
  • MkDir, para crear uno o más directorios
  • RmDir, para eliminar los directorios especificados
  • Imagen, para realizar una captura de pantalla de la pantalla del dispositivo
  • MultyTask, para ejecutar una lista de tareas separadas por punto y coma a la vez
  • Poner, para subir un archivo al dispositivo
  • RegRead, para leer un valor del Registro de Windows
  • RegDelete, para eliminar un valor del Registro de Windows
  • RegWrite, para establecer un valor del Registro de Windows
  • Ejecutar, para ejecutar un nuevo proceso.
  • Sysinfo, para recopilar información del sistema.
  • UnpackArchive, para extraer el archivo ZIP especificado a su directorio actual

Google dijo que identificó un repositorio GitHub de acceso público («ChikenFresh/google-ai-labs-it«) que contiene una implementación de Python del controlador de servidor STOCKSTAY WebSocket orientado a la víctima que es responsable de manejar los mensajes entrantes de un cliente conectado y registrar su dirección IP.

«La incapacidad del servidor para descifrar los mensajes entrantes impide la introspección por parte de los operadores de la plataforma y confunde aún más la ubicación de la infraestructura dedicada del actor de la amenaza», señaló GTIG. «Esta arquitectura se parece un poco a la infraestructura Kazuar C2 de múltiples saltos de Turla».

Los ataques que distribuyen STOCKSTAY han aprovechado constantemente señuelos de temática académica o diplomática para apuntar a organizaciones gubernamentales y militares dentro de Ucrania, y las primeras versiones de la puerta trasera se utilizaron en ataques dirigidos a entidades en Italia, los Países Bajos, Polonia y Alemania. Dicho esto, se desconoce qué entidades europeas fueron señaladas en estos ataques.

Cronología de las observaciones de STOCKSTAY

En al menos un caso observado a principios de 2025, se dice que los actores de Turla emplearon un correo electrónico de phishing que contenía un archivo adjunto RDP malicioso que, cuando se abre, establece una conexión entre el dispositivo de la víctima y la infraestructura controlada por el actor, a través de la cual se pueden implementar cargas útiles adicionales, incluido STOCKSTAY.

En noviembre de 2025, se descubrió que una ola de phishing por correo electrónico dirigida a Ucrania entregaba el implante a través de archivos RAR que explotan CVE-2025-8088, una vulnerabilidad de WinRAR que ha sido explotada por varios grupos de hackers rusos como Sandworm, Gamaredon y RomCom.

Otras campañas han aprovechado instaladores MSI (en un caso alojados en GitHub) y archivos RAR que contienen un script de aplicación HTML (HTA), el último de los cuales está diseñado para ejecutar una variante de STOCKSTAY.MARKETMAKER. Luego, el descargador recupera un archivo ZIP que contiene los componentes principales de STOCKSTAY alojado en una instancia comprometida de WordPress.

Ciberseguridad

Un aspecto digno de mención del malware es que Turla lo ha empleado en múltiples etapas distintas de sus operaciones, una como una forma de obtener acceso inicial a entornos que no han sido perfilados previamente y durante la post-explotación después del reconocimiento para su ejecución en un host específico.

«Esta configuración implica que, en esta etapa, el actor sabe exactamente qué máquina está siendo atacada, probablemente a través de los accesos existentes al entorno de destino», explicó GTIG. Esto se vio dentro de las redes ucranianas donde STOCKSTAY se desplegó hacia el final de una operación que anteriormente había dependido en gran medida de otras herramientas del grupo, como Kazuar».

Las superposiciones de STOCKSTAY con Kazuar surgen de las similitudes en cómo se delinean las responsabilidades entre los diferentes componentes. El uso de Kazuar de los módulos Kernel, Bridge y Worker dentro de Kazuar fue detallado ampliamente por el equipo de Microsoft Threat Intelligence el mes pasado. La separación de distintos componentes basados ​​en roles en STOCKSTAY se detectó por primera vez en una muestra cargada en VirusTotal en diciembre de 2023 desde los Países Bajos.

Estos puntos en común han planteado la posibilidad de que tanto STOCKSTAY como Kazuar hayan sido desarrollados y mantenidos en parte por el mismo desarrollador o equipo.

«Creemos que STOCKSTAY se está desarrollando a imagen de KAZUAR, y es probable que varias decisiones de diseño surjan de la gran experiencia del actor de amenazas en la realización de operaciones utilizando este conjunto de herramientas de larga data», dijo Google. «Ambos ecosistemas dependen en gran medida del desarrollo .NET y se ha observado que utilizan sitios de WordPress comprometidos durante varias etapas de sus operaciones».

«Evaluamos con poca confianza que nuestras observaciones del despliegue de STOCKSTAY junto a KAZUAR durante las operaciones activas pueden ser el resultado de que el actor de amenazas busca probar nuevas capacidades en operaciones activas, particularmente donde pueden esperar que su acceso existente sea remediado en un futuro cercano».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *