Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Turla, vinculado a Rusia, usa infraestructura comprometida para desplegar STOCKSTAY en Ucrania


El grupo de amenazas vinculado a Rusia, Turla, ha desarrollado un nuevo backdoor llamado STOCKSTAY para expandir su capacidad de espionaje. Desde diciembre de 2022, este malware, creado en .NET, ha estado atacando activamente a organizaciones gubernamentales y militares en Ucrania. El software utiliza conexiones WebSocket seguras para comunicarse con sus operadores, lo que permite que el tráfico pase desapercibido y sea difícil de detectar en la red.





El grupo de amenazas vinculado a Rusia, Turla, ha estado expandiendo silenciosamente su arsenal de espionaje con una nueva puerta trasera llamada STOCKSTAY, dirigida activamente a organizaciones gubernamentales y militares en Ucrania desde al menos diciembre de 2022.

El malware está desarrollado en .NET y se comunica con los operadores a través de una conexión WebSocket segura, lo que hace que sea difícil de detectar dentro del tráfico normal de la red. Las pruebas apuntan a una campaña bien organizada y respaldada por el estado, vinculada directamente a la inteligencia rusa.

STOCKSTAY estaba originalmente disfrazado como una herramienta de visualización de datos del mercado de valores, con nombres de archivo y datos de configuración falsos diseñados para mezclarse con el software cotidiano.

Para 2025, se encontraron variantes actualizadas que se hacían pasar por visores de PDF y utilidades de calculadora, demostrando cómo el grupo se adapta continuamente.

Turla se ha centrado sistemáticamente en los Ministerios de Asuntos Exteriores occidentales, organizaciones de defensa y entidades militares ucranianas, reflejando la alineación con los intereses del estado ruso.

Overview of STOCKSTAY malware architecture (Source - Google Cloud)
Vista general de la arquitectura del malware STOCKSTAY (Fuente – Google Cloud)

Analistas del Grupo de Inteligencia de Amenazas de Google (GTIG) identificaron y documentaron el malware en un informe que detalla sus componentes, cronología y coincidencias con otro kit de herramientas de Turla conocido como KAZUAR.

Turla, también rastreado como SUMMIT, Secret Blizzard y VENOMOUS BEAR, está atribuido al Centro 16 del Servicio Federal de Seguridad de Rusia y ha estado activo desde al menos 2004.

El malware se ha desplegado en varios países, incluidos Ucrania, Italia, Países Bajos, Polonia y Alemania.

En Ucrania, Turla utilizó infraestructura comprometida, incluidos servicios gubernamentales y el servidor de una empresa de TI, para preparar y entregar la carga útil. Esto permite al grupo mezclarse con el tráfico de la red local, haciendo que la detección sea considerablemente más difícil.

Tras una ola de phishing en noviembre de 2025 dirigida a unas 20 personas residentes en Ucrania, el GTIG confirmó que los titulares de cuentas de Google afectados fueron notificados mediante avisos de "Ataque respaldado por el gobierno".

Esa campaña utilizó archivos RAR maliciosos que explotaban un fallo de salto de ruta en WinRAR rastreado como CVE-2025-8088. Se insta a los equipos de seguridad a revisar sus entornos basándose en los indicadores de compromiso enumerados a continuación.

Turla, vinculado a Rusia, utiliza infraestructura comprometida

El uso que hace Turla de la infraestructura ucraniana comprometida es uno de los aspectos más calculados de estas operaciones.

El grupo alojó cargas útiles en un sitio web perteneciente al Servicio Regulador Estatal de Ucrania y en un servidor WordPress alojado dentro del país. El uso de fuentes locales confiables para entregar malware elude los controles que marcarían la infraestructura extranjera.

El acceso inicial se basó en phishing con archivos maliciosos del Protocolo de Escritorio Remoto (RDP). A principios de 2025, las víctimas recibieron correos electrónicos haciéndose pasar por una academia de formación en defensa; al abrir el archivo adjunto de RDP, quedaban conectadas a la infraestructura controlada por el atacante.

Overview of STOCKSTAY C2 Infrastructure (Source - Tencent)
Vista general de la infraestructura C2 de STOCKSTAY (Fuente – Tencent)

Turla desplegó entonces el descargador STOCKSTAY.MARKETMAKER, que recuperaba la suite completa de STOCKSTAY desde el servidor comprometido.

Una ola posterior a mediados de 2025 utilizó una plataforma de educación diplomática comprometida para atraer a las víctimas bajo la apariencia de acceder a un portal de formación en línea.

STOCKSTAY funciona a través de tres componentes coordinados. STOCKMARKET orquestra las operaciones, STOCKBROKER gestiona la comunicación de red a través de WebSocket y STOCKTRADER ejecuta comandos en las máquinas infectadas, incluyendo la recolección de archivos, modificaciones del registro y capturas de pantalla.

El malware se ejecuta solo los días laborables entre las 9 AM y las 6 PM, coincidiendo deliberadamente con el horario comercial para evitar la detección.

La evolución de la ofuscación de STOCKSTAY y su conexión con KAZUAR

Un tema recurrente en esta investigación es cuánto se parece STOCKSTAY a KAZUAR, el kit de herramientas de espionaje de Turla de mayor duración.

Ambos utilizan arquitecturas de múltiples componentes, claves ambientales para proteger configuraciones y sitios de WordPress comprometidos durante las operaciones.

El GTIG evalúa con confianza moderada que ambas herramientas probablemente fueron desarrolladas por un equipo compartido trabajando en paralelo.

En abril de 2025, STOCKSTAY adoptó un nuevo método de ofuscación de cadenas basado en un algoritmo pseudoaleatorio llamado Squirrel3, presentado originalmente en una conferencia de desarrollo de juegos en 2017.

Timeline of STOCKSTAY observations (Source - Google Cloud)
Cronología de las observaciones de STOCKSTAY (Fuente – Google Cloud)

El GTIG rastrea esto como K1MORPHER. Para junio de 2025, el mismo código había aparecido en muestras de KAZUAR, reforzando la idea de que ambas familias comparten un entorno de desarrollo común.

El grupo utilizó una cuenta de GitHub para alojar el código del controlador del lado del servidor para el comando y control de STOCKSTAY, vinculándolo a una plataforma llamada Render para el alojamiento de WebSocket.

Esta configuración dificulta que los operadores inspeccionen el tráfico cifrado mientras oculta la infraestructura dedicada del grupo. El refinamiento continuo de STOCKSTAY por parte de Turla confirma su estatus como uno de los actores de espionaje técnicamente más avanzados de la actualidad.

Indicadores de Compromiso (IoCs):-

TipoIndicadorDescripción
URL (WebSocket C2)wss://wool-basalt-clock.glitch.me/wsSTOCKSTAY WebSocket C2 (operación Ucrania enero 2024)
URL (WebSocket C2)wss://weatherdataai.theworkpc.com/wsSTOCKSTAY WebSocket C2 (operación Ucrania abril 2025)
URL (WebSocket C2)wss://canal1zac1a.onrender.com/wsSTOCKSTAY WebSocket C2 (agosto 2025 / MSIs de prueba GitHub)
URL (WebSocket C2)wss://driverx86-adobe.onrender.com/wsSTOCKSTAY WebSocket C2 (ola de phishing noviembre 2025)
URL (WebSocket C2)wss://google-ai-labs-it.onrender.com/wsSTOCKSTAY WebSocket C2 (noviembre 2025 / GitHub ChikenFresh)
URL (Descarga)https://www.drs.gov.ua/wp-content/themes/twentytwentyfive/docs.zipZIP que aloja componentes de STOCKSTAY en sitio gubernamental ucraniano comprometido
URL (Descarga)https://basecon.com.ua/calculator.rarArchivo RAR que contiene componentes de STOCKSTAY en servidor ucraniano comprometido
URL (Descarga)https://online.zp.ua/wp-content/uploads/Tools/EditorToolsPdf.zipZIP que contiene componentes de STOCKSTAY en servidor WordPress comprometido
URL (Señuelo / Atracción)https://circoloesteri.elezioni.idnet.it/adelection/riepilogo.phpURL de señuelo electoral en idioma italiano usada en operación Italia febrero 2024
Hash de archivo (SHA-256)d1e54270433a94a…websocket-sharp.dll — librería de código abierto compilada por el actor usada por STOCKSTAY
Hash de archivo (SHA-256)f04f43b6f7c2d86…server.py — controlador C2 de STOCKSTAY en Python (GitHub ChikenFresh)
Hash de archivo (SHA-256)7615140f78d9a0c…models.py — definiciones de tablas de base de datos para el servidor C2 de STOCKSTAY
Hash de archivo (SHA-256)b55f3b8a7334af0…wtools.py — funciones utilitarias para el servidor C2 de STOCKSTAY
Nombre de archivoMicrosoftUpdateOneDrive.exeDescargador STOCKSTAY.MARKETMAKER (operación Ucrania abril 2025)
Nombre de archivostyles.dat.exeDescargador STOCKSTAY.MARKETMAKER (operación Ucrania agosto 2025)
Nombre de archivocalculator.rarArchivo RAR que contiene señuelo HTA y componentes de STOCKSTAY
Nombre de archivoКалькулятор грошового забезпечення військовослужбовців 2025.htaSeñuelo HTA ucraniano (“Calculadora de beneficios en efectivo del personal militar 2025.hta”)
Nombre de archivoEditorToolsPdf.zipArchivo ZIP que contiene componentes de STOCKSTAY (operación agosto 2025)
Nombre de archivoDiplomacyEduAI.msiArchivos MSI que contienen componentes de STOCKSTAY (cuentas de prueba GitHub)
Nombre de archivoCopia.msiMSI que contiene componentes de STOCKSTAY (operación Italia febrero 2024)
Nombre de archivoDriversPrinterGraphic.rarArchivo RAR temprano de STOCKSTAY (septiembre 2023, Alemania)
Nombre de archivoapps_libwallets_v1.3.rarArchivo RAR de STOCKSTAY (diciembre 2023, Países Bajos)
Nombre de archivoStockMarketNews.exeEjecutable combinado temprano de STOCKSTAY
Nombre de archivoStockMarketView.exe / ViewPdf.exeOrquestador STOCKSTAY.STOCKMARKET (varias operaciones)
Nombre de archivoStockMarketNet.exe / SMNet.exe / ClientMNGR.exe / MSDriver.exeTúnel STOCKSTAY.STOCKBROKER (varias operaciones)
Nombre de archivoStockMarketSystem.exe / SMEditor.exe / ConverterDDSNet.exe / MSRender.exePuerta trasera STOCKSTAY.STOCKTRADER (varias operaciones)
Nombre de archivoClientMNGR2.exe / GR3.exeTúnel STOCKSTAY.STOCKBROKER ofuscado con K1MORPHER (mayo 2025, Polonia)
Nombre de archivoms-lib-math-core.dllMódulo central compartido de STOCKSTAY (operación noviembre 2025)
Nombre de archivoms-api-win-render.dllMódulo que contiene los manejadores de comandos de la puerta trasera de STOCKSTAY
Nombre de archivoms-api-wmcpdt.dllMódulo que contiene la lógica IPC de STOCKSTAY
Nombre de archivoweather_data1.dbBase de datos SQLite3 usada por el controlador del lado del servidor de STOCKSTAY
Cuenta de GitHubRoberto1983-aiPresunta cuenta de GitHub del actor de amenazas que aloja archivos MSI de prueba de STOCKSTAY
Cuenta de GitHubChikenFreshPresunta cuenta de GitHub del actor de amenazas que aloja el código del servidor C2 de STOCKSTAY

Nota: Las direcciones IP y los dominios han sido desactivados intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.



Fuentes:
https://cybersecuritynews.com/russia-linked-turla-uses-compromised-infrastructure/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.