Le più recenti analisi di threat intelligence collegano il gruppo Turla a un nuovo backdoor Windows chiamato STOCKSTAY, usato in operazioni di cyber espionage contro organizzazioni governative e militari in Ucraina e contro realtà europee con interesse per la politica estera italiana. STOCKSTAY viene descritto come un impianto in continua evoluzione, con somiglianze di codice e di funzioni con Kazuar, uno strumento storico attribuito allo stesso attore e osservato da anni in campagne mirate.
Dal punto di vista tecnico STOCKSTAY è un backdoor multi-componente scritto in .NET e basato su Windows Forms. La comunicazione con il command and control avviene tramite una connessione WebSocket sicura, usando una libreria open source, e i moduli dialogano tra loro attraverso un canale IPC basato su messaggi WM_COPYDATA. Questa architettura modulare rende più flessibile la gestione dei compiti, separando trasporto, controllo e funzioni operative.
L’infezione parte da un downloader denominato STOCKSTAY MARKETMAKER, progettato inizialmente per imitare un tool di visualizzazione dati di borsa e poi adattato per mascherarsi da applicazioni innocue come lettori PDF o calcolatrici. Una volta eseguito installa altri moduli.
Componenti principali
- STOCKSTAY STOCKBROKER: agisce come tunneler con supporto proxy e stabilisce la WebSocket verso il server remoto.
- STOCKSTAY STOCKTRADER: è il backdoor principale dedicato alla raccolta di informazioni.
- STOCKSTAY STOCKMARKET: funge da orchestratore, interpreta la configurazione, imposta parametri come server e intervalli di esecuzione e gestisce i comandi da eseguire sull’host compromesso.
Capacità operative
- File system: enumerazione e gestione di file e cartelle.
- Trasferimento dati: upload e download mirati per estensioni.
- Raccolta visiva: cattura schermo.
- Esecuzione: avvio di processi.
- Persistenza/configurazione: lettura e modifica del registro di Windows.
- Ricognizione: raccolta di informazioni di sistema.
- Gestione archivi: estrazione di archivi ZIP.
È stato inoltre individuato un controller server in Python pubblicato in un repository accessibile, utile a gestire le comunicazioni dei client e registrare indirizzi IP, mentre l’impossibilità di decifrare i messaggi in ingresso ostacola l’ispezione e aiuta a nascondere l’infrastruttura.
Le campagne di distribuzione hanno sfruttato esche a tema accademico o diplomatico. In un caso è stata usata una email di phishing con allegato RDP malevolo per stabilire una connessione verso infrastruttura controllata dagli attaccanti e distribuire payload aggiuntivi. Altre ondate hanno utilizzato archivi RAR, installer MSI e script HTA, con download finale di componenti ospitati anche su istanze WordPress compromesse. Un elemento rilevante è l’uso di STOCKSTAY sia per l’accesso iniziale sia in fasi di post-exploitation, talvolta in parallelo a Kazuar, suggerendo test di nuove funzioni durante operazioni attive.