El grupo de hacking ruso Turla ha desplegado STOCKSTAY, un backdoor de .NET diseñado para el espionaje de organizaciones gubernamentales y militares en Ucrania y otros países europeos. Este malware se disfraza de herramientas inofensivas y utiliza componentes modulares para recolectar información, gestionar archivos y ejecutar comandos remotos. Para su distribución, los atacantes emplean correos de phishing, archivos RDP maliciosos y vulnerabilidades de WinRAR.



El actor de amenazas respaldado por el estado ruso conocido como Turla ha sido vinculado a un backdoor de .NET previamente indocumentado llamado STOCKSTAY, que ha sido desplegado contra organizaciones gubernamentales y militares en Ucrania, así como entidades interesadas en la política exterior italiana.

Al describir el backdoor de Windows como una herramienta en desarrollo continuo por parte del grupo de hacking, el Grupo de Inteligencia de Amenazas de Google (GTIG) señaló que esta herramienta de ciberespionaje comparte un código significativo y solapamientos funcionales con Kazuar, un implante fundamental utilizado por el adversario desde 2017. Se sospecha que la actividad de desarrollo del malware se remonta a diciembre de 2022.

"STOCKSTAY es un backdoor de múltiples componentes escrito en .NET, utilizando el framework Windows Forms, que se comunica con su comando y control (C2) a través de una conexión WebSocket segura, utilizando la librería de código abierto websocket-sharp", afirmó el GTIG en su informe.

"STOCKSTAY consta de varios componentes distintos que se comunican entre sí a través de un canal de comunicación entre procesos (IPC), basado en el intercambio de mensajes WM_COPYDATA".

La evidencia indica que el implante fue diseñado originalmente para imitar una herramienta de visualización de datos del mercado de valores, antes de ser adaptado para hacerse pasar por otros programas inofensivos como visores de PDF y utilidades de calculadora. El punto de partida es un componente descargador llamado STOCKSTAY.MARKETMAKER que instala y ejecuta tres módulos adicionales:

* STOCKSTAY.STOCKBROKER, un túnel compatible con proxy que facilita las capacidades de comunicación de red para el conjunto de STOCKSTAY estableciendo una conexión WebSocket segura con un servidor remoto especificado.
* STOCKSTAY.STOCKTRADER, el backdoor principal que permite la recopilación de información.
* STOCKSTAY.STOCKMARKET, un orquestador o controlador que analiza la configuración del backdoor para establecer varias opciones sobre la ejecución del malware, como el servidor WebSocket, el intervalo de tiempo y los días que no debe funcionar. También se comunica con STOCKSTAY.STOCKBROKER para proporcionar los detalles del servidor y recibir mensajes, así como con STOCKSTAY.STOCKTRADER para emitir comandos que deben ejecutarse en el host comprometido.

Arquitectura del malware stockstay

Algunos de los comandos de soporte de STOCKSTAY.STOCKTRADER se enumeran a continuación:

* Del, para eliminar los archivos especificados
* Dir, para enumerar los directorios especificados
* Get, para obtener uno o más archivos especificados que coincidan con ciertas extensiones
* MkDir, para crear uno o más directorios
* RmDir, para eliminar los directorios especificados
* Image, para realizar una captura de pantalla del dispositivo
* MultyTask, para ejecutar una lista de tareas separadas por punto y coma a la vez
* Put, para subir un archivo al dispositivo
* RegRead, para leer un valor del Registro de Windows
* RegDelete, para eliminar un valor del Registro de Windows
* RegWrite, para establecer un valor del Registro de Windows
* Run, para ejecutar un nuevo proceso
* Sysinfo, para recopilar información del sistema
* UnpackArchive, para extraer el archivo ZIP especificado en su directorio actual

Google dijo que identificó un repositorio de GitHub accesible públicamente ("ChikenFresh/google-ai-labs-it") que contiene una implementación en Python del controlador del servidor WebSocket de STOCKSTAY orientado a la víctima, que es responsable de manejar los mensajes entrantes de un cliente conectado y registrar su dirección IP.

"La incapacidad del servidor para descifrar los mensajes entrantes impide la introspección por parte de los operadores de la plataforma y oculta aún más la ubicación de la infraestructura dedicada del actor de amenazas", señaló el GTIG. "Esta arquitectura se asemeja en cierto modo a la infraestructura C2 de saltos múltiples de Kazuar de Turla".

Los ataques que distribuyen STOCKSTAY han aprovechado sistemáticamente señuelos de temática académica o diplomática para dirigirse a organizaciones gubernamentales y militares en Ucrania, mientras que las primeras versiones del backdoor se utilizaron en ataques contra entidades en Italia, Países Bajos, Polonia y Alemania. Dicho esto, se desconoce qué entidades europeas fueron seleccionadas en estos ataques.

Cronología de las observaciones de stockstay

En al menos un caso observado a principios de 2025, se dice que los actores de Turla emplearon un correo electrónico de phishing que contenía un archivo adjunto RDP malicioso que, al abrirse, establece una conexión entre el dispositivo de la víctima y la infraestructura controlada por el actor, a través de la cual se pueden desplegar cargas útiles adicionales, incluido STOCKSTAY.

Tan recientemente como en noviembre de 2025, se descubrió una ola de phishing por correo electrónico dirigida a Ucrania que entregaba el implante a través de archivos RAR que explotan la CVE-2025-8088, una vulnerabilidad de WinRAR que ha sido explotada por varios grupos de hacking rusos como Sandworm, Gamaredon y RomCom.

Otras campañas han aprovechado instaladores MSI (en un caso alojados en GitHub) y archivos RAR que contienen un script de Aplicación HTML (HTA), el cual está diseñado para ejecutar una variante de STOCKSTAY.MARKETMAKER. El descargador recupera entonces un archivo ZIP que contiene los componentes principales de STOCKSTAY alojado en una instancia de WordPress comprometida.

Un aspecto notable del malware es que ha sido empleado por Turla en múltiples etapas distintas de sus operaciones: una como medio para obtener el acceso inicial a entornos que no han sido perfilados previamente y durante la post-explotación tras el reconocimiento para la ejecución en un host específico.

"Esta configuración implica que, en esta etapa, el actor sabe exactamente qué máquina está siendo objetivo, probablemente a través de accesos existentes al entorno objetivo", explicó el GTIG. "Esto se vio en redes ucranianas donde STOCKSTAY fue desplegado hacia el final de una operación que previamente había dependido en gran medida de otras herramientas del grupo, como Kazuar".

Los solapamientos de STOCKSTAY con Kazuar provienen de las similitudes en cómo se delimitan las responsabilidades entre los diferentes componentes. El uso de módulos Kernel, Bridge y Worker dentro de Kazuar fue detallado extensamente por el equipo de Inteligencia de Amenazas de Microsoft el mes pasado. La separación de componentes basados en roles distintos en STOCKSTAY se detectó por primera vez en una muestra subida a VirusTotal en diciembre de 2023 desde los Países Bajos.

Estas similitudes han planteado la posibilidad de que tanto STOCKSTAY como Kazuar hayan sido desarrollados y mantenidos en parte por el mismo desarrollador o equipo.

"Creemos que STOCKSTAY se está desarrollando a imagen de KAZUAR, con varias decisiones de diseño que probablemente surgen de la vasta experiencia del actor de amenazas al llevar a cabo operaciones utilizando este conjunto de herramientas veterano", dijo Google. "Ambos ecosistemas dependen en gran medida del desarrollo en .NET y se ha observado que utilizan sitios de WordPress comprometidos durante varias etapas de sus operaciones".

"Evaluamos con baja confianza que nuestras observaciones de STOCKSTAY siendo desplegado junto a KAZUAR durante operaciones activas pueden ser el resultado de que el actor de amenazas busque probar nuevas capacidades en operaciones reales, particularmente donde puedan esperar que su acceso existente sea remediado en el futuro cercano".

Fuente:
THN