El actor de amenazas patrocinado por el estado ruso conocido como Turla ha sido culpado de una puerta trasera .NET previamente indocumentada llamada STOCKSTAY, que se ha desplegado contra el gobierno ucraniano y organizaciones militares, así como contra organizaciones con intereses en la política exterior italiana.
Google Threat Intelligence Group (GTIG) explicó que la puerta trasera de Windows está en desarrollo continuo por parte del grupo de hackers, y dijo que la herramienta de ciberespionaje tiene una importante superposición de código y funcionalidad con Katar, un implante básico utilizado por los adversarios desde 2017. La supuesta actividad de desarrollo de malware se remonta a diciembre de 2022.
«STOCKSTAY es una puerta trasera multicomponente escrita en .NET usando el marco Windows Forms, aprovecha la biblioteca de código abierto WebSocket-sharp y se comunica con comando y control (C2) a través de una conexión WebSocket segura», dijo GTIG.
«STOCKSTAY consta de varios componentes separados que se comunican entre sí a través de un canal de comunicación entre procesos (IPC) basado en el intercambio de mensajes WM_COPYDATA».
La evidencia sugiere que el implante fue diseñado originalmente para imitar las herramientas de visualización de datos del mercado de valores y luego se adaptó para hacerse pasar por otros programas benignos, como visores de PDF y utilidades de calculadora. El punto de partida es un componente de descarga con nombre en código STOCKSTAY.MARKETMAKER que instala y ejecuta tres módulos adicionales.
STOCKSTAY.BROKER DE BOLSA. Un tunelizador habilitado para proxy que facilita la funcionalidad de comunicación de red a la suite STOCKSTAY más amplia al establecer una conexión WebSocket segura a un servidor remoto específico. STOCKSTAY.STOCKTRADER, el backdoor principal que permite la recopilación de información. STOCKSTAY.BOLSA. Es un orquestador o controlador que analiza la configuración de la puerta trasera y establece varias opciones para la ejecución del malware, como el servidor WebSocket, el intervalo de tiempo y los días en que el malware no se ejecutará. También se comunica con STOCKSTAY.STOCKBROKER para proporcionar detalles del servidor y recibir mensajes a través de la conexión WebSocket establecida. También se comunica con STOCKSTAY.STOCKTRADER para emitir comandos para ejecutar en el host comprometido.
Arquitectura de malware STOCKSTAY
Algunos de los comandos admitidos para STOCKSTAY.STOCKTRADER se enumeran a continuación.
Del, elimina los archivos especificados Dir, enumera los directorios especificados Get, recupera uno o más archivos especificados que coinciden con una extensión específica MkDir, crea uno o más directorios RmDir, elimina los directorios especificados Image, realiza una captura de pantalla de la pantalla del dispositivo MultyTask, realiza una lista de tareas separadas por punto y coma a la vez Put, carga archivos en el dispositivo RegRead, Windows Lee el valor del registro RegDelete, elimina el valor del registro de Windows RegWrite, establece el valor del registro de Windows Ejecutar, ejecuta un nuevo proceso Sysinfo, recopila información del sistema UnpackArchive, extrae el archivo ZIP especificado al directorio actual
Google dijo que ha identificado un repositorio GitHub de acceso público («ChikenFresh/google-ai-labs-it») que contiene una implementación Python del controlador del servidor STOCKSTAY WebSocket de la víctima, que es responsable de procesar los mensajes entrantes de los clientes conectados y registrar sus direcciones IP.
GTIG señaló que «la incapacidad de los servidores para descifrar los mensajes entrantes impide la introspección por parte de los operadores de plataformas y oscurece aún más la ubicación de la infraestructura patentada de los actores de amenazas». «Esta arquitectura es algo similar a la infraestructura multisalto Zuar C2 de Turla».
Los ataques que distribuyen STOCKSTAY se dirigen sistemáticamente a organizaciones gubernamentales y militares en Ucrania utilizando señuelos de temática académica o diplomática, y las primeras versiones de la puerta trasera se han utilizado para atacar a organizaciones en Italia, los Países Bajos, Polonia y Alemania. Sin embargo, no está claro qué organizaciones europeas fueron nombradas en estos ataques.
Cronograma de observación de STOCKSTAY
En al menos un caso observado a principios de 2025, los atacantes de Turla supuestamente utilizaron un correo electrónico de phishing que contenía un archivo adjunto RDP malicioso. Una vez abierto, este archivo establece una conexión entre el dispositivo de la víctima y la infraestructura controlada por el atacante a través de la cual se pueden implementar cargas útiles adicionales, incluido STOCKSTAY.
En noviembre de 2025, se descubrió que una ola de ataques de phishing por correo electrónico dirigidos a Ucrania entregaba implantes a través de archivos RAR que explotaban CVE-2025-8088. CVE-2025-8088 es una vulnerabilidad en WinRAR que ha sido explotada por varios grupos de hackers rusos, incluidos Sandworm, Gamaredon y RomCom.
Otras campañas han utilizado archivos RAR que contienen instaladores MSI (alojados en GitHub en un caso) y scripts de aplicaciones HTML (HTA), estos últimos diseñados para ejecutar variantes de STOCKSTAY.MARKETMAKER. Luego, el descargador recupera un archivo ZIP que contiene componentes clave de STOCKSTAY alojados en la instancia de WordPress comprometida.
Un aspecto notable de este malware es que Turla lo utiliza en múltiples etapas diferentes de sus operaciones. Una es como una forma de obtener acceso inicial a un entorno que no ha sido perfilado previamente, y después de la explotación después del reconocimiento de la ejecución en un host en particular.
«Esta configuración significa que el atacante sabe exactamente qué máquinas están siendo atacadas en esta etapa, probablemente a través del acceso existente al entorno de destino», explicó GTIG. Esto se vio dentro de la red ucraniana donde se desplegó STOCKSTAY al final de la operación, que anteriormente dependía en gran medida de otras herramientas del grupo, como Kazuar. «
La superposición entre STOCKSTAY y Kazuar surge de similitudes en cómo se delimitan las responsabilidades entre los distintos componentes. El mes pasado, el equipo de Microsoft Threat Intelligence detalló el uso de módulos de kernel, puente y trabajador en Kazuar. La separación de diferentes componentes basados en roles en STOCKSTAY se detectó por primera vez en una muestra cargada en VirusTotal desde los Países Bajos en diciembre de 2023.
Estos puntos en común plantean la posibilidad de que tanto STOCKSTAY como Kazuar sean parcialmente desarrollados y mantenidos por el mismo desarrollador o equipo.
Google dijo: «Creemos que STOCKSTAY se desarrolló a imagen de KAZUAR, y algunas decisiones de diseño probablemente surgieron de la amplia experiencia de los actores de amenazas que han realizado operaciones utilizando este conjunto de herramientas de larga data». «Ambos ecosistemas dependen en gran medida del desarrollo .NET y se ha observado que utilizan sitios de WordPress comprometidos en varias etapas de operación».
«Evaluamos con poca confianza que nuestras observaciones del despliegue de STOCKSTAY junto con KAZUAR durante las operaciones activas pueden ser el resultado de que los actores de amenazas intenten probar nuevas capacidades durante las operaciones activas, especialmente si esperan que el acceso existente sea remediado en un futuro cercano».
Source link
