Análise detalhada do backdoor STOCKSTAY: Turla evolve com comunicações WebSocket e modularidade

A infraestrutura de espionagem cibernética do grupo Turla foi atualizada com o backdoor STOCKSTAY, focado em alvos governamentais e militares ucranianos e europeus, aproveitando plataformas legítimas em nuvem para camuflar o roubo de dados.

ComponenteEcossistema de malware modular escrito em.NET rastreado como STOCKSTAY, incluindo os componentes STOCKBROKER, STOCKMARKET, STOCKTRADER e o downloader MARKETMAKER.
VetorCampanhas de spear-phishing direcionadas, utilizando iscas governamentais, diplomas e modelos de cálculos militares, entregues via arquivos RDP maliciosos, arquivos HTA e exploit de path traversal CVE-2025-8088 no WinRAR.
ImpactoEstabelecimento de persistência remota de alto nível, permitindo a execução de comandos em janelas restritas, captura de tela, inventário do sistema operacional e roubo de informações sigilosas em instituições governamentais e militares.
PrioridadeIsolar máquinas suspeitas, monitorar tráfegos WebSocket Secure (WSS) direcionados a domínios de compartilhamento legítimo (como Render e Glitch), restringir anexos de e-mail e implantar assinaturas de detecção focadas em atributos específicos do.NET.
Resumo técnico

O grupo de espionagem cibernética com vínculos com a Rússia, rastreado como Turla (também conhecido como Secret Blizzard, SUMMIT ou UAC-0194), mantém a evolução contínua de seu aparato de inteligência com a introdução e o aprimoramento do backdoor multi-componente rastreado como STOCKSTAY. Observado de forma ativa desde dezembro de 2022 em amostras submetidas a laboratórios de pesquisa, este ecossistema de malware escrito em.NET demonstra sobreposições estruturais significativas com o respeitado toolkit KAZUAR, indicando um possível compartilhamento de desenvolvedores ou equipes de engenharia de software atuando em paralelo na criação de cargas úteis. A arquitetura modular do STOCKSTAY divide as responsabilidades de comunicação de rede, orquestração de tarefas e execução de fundo em componentes isolados que se comunicam via troca de mensagens interprocessos (IPC) utilizando mensagens WM_COPYDATA para burlar mecanismos tradicionais de inspeção de tráfego.

Para dificultar a análise estática e a detecção por sandboxes de homologação automatizadas, o ator de ameaça emprega iscas temáticas focadas em conflitos militares atuais, diplomacia, Documentos !!edu!! e relatórios financeiros de interesse táctico. O desenho da comunicação criança utiliza bibliotecas de código aberto para estabelecer canais WebSocket Seguros (WSS), adicionando uma camada de criptografia assimétrica customizada de alto padrão (chaves RSA de 4096 bits) para impedir a introspecção pelas plataformas de hospedagem em nuvem frequentemente abusadas para abrigar a infraestrutura de Comando e Controle (C2).

Variantes recentes observadas ao longo de 2025 incorporaram técnicas sofisticadas de ofuscação de strings em tempo de execução, baseadas no algoritmo pseudoaleatório Squirrel3, rotuladas internamente como K1MORPHER e compartilhadas simultaneamente com versões modernas do KAZUAR. A campanha demonstra foco persistente em alvos de alto valor geopolítico, como redes de organizações governamentais e militares na Ucrânia, expandindo testes operacionais, entregas iniciais de infecção strategica e simulacros contra nações europeias com interesse em políticas externas de defesa, sustentando operações de ciberespionagem de longa duração com forte evasão defensiva.

Fluxo técnico

A cadeia de infecção do ecossistema STOCKSTAY demonstra maturidade tática e frequentemente começa com campanhas de spear-phishing enganosas que cativam o usuário a interagir com maliciosos arquivos anexos. A inicialização na máquina da vítima ocorre por meio do componente rastreado como STOCKSTAY.MARKETMAKER, um downloader silencioso escrito em.NET que se disfarça como atualizações legítimas do sistema operacional, utilizando deliberadamente nomes de arquivos relacionados a "MicrosoftupdateOneDrive" ou ferramentas de atualização padrão. O MARKETMAKER estabelece persistência no host comprometido por meio de modificações no registro do Windows, criando chaves de execução automática na árvore Run do sistema local, e prossegue baixando e extraindo os módulos centrais do implante a partir de servidores comprometidos.

O núcleo do backdoor é projetado em formato de três componentes principais que dependem um do outro para funcionar isoladamente e mascarar a real intenção da ferramenta. O STOCKSTAY.STOCKBROKER atua como um túnel de rede com reconhecimento de proxy, responsável por estabelecer conexões WebSocket seguras e atuar como relay entre o C2 e o orquestrador interno, isolando as chamadas de rede das atividades maliciosas de host e garantindo que todo o tráfego de saída seja正确, consiste, em português: consistente com requisições de mercado de ações.

O STOCKSTAY.STOCKMARKET atua como o orquestrador central, responsável por carregar e descriptografar o arquivo de configuração embutido no disco de forma sutil. Esse arquivo de configuração utiliza técnicas avançadas de camuflagem, misturando dados de sessão criptografados reais com URLs falsas de corretoras de criptomoedas e serviços de streaming financeiro. Durante a primeira execução no ambiente da vítima, o STOCKMARKET gera um par de chaves RSA de 4096 bits exclusivo para a infecção, enviando a chave pública ao servidor no primeiro contato para estabelecer um canal de comunicação blindado. O conjunto de ferramentas é finalizado pelo STOCKSTAY.STOCKTRADER, o componente que efetivamente executa as tarefas maliciosas no sistema operacional, permitindo navegação em diretórios de forma sigilosa, filtragem e exfiltração de arquivos específicos em formato ZIP codificado em base64, captura de imagem de tela, manipulação do Registro do Windows e coleta detalhada de inventário de hardware via WMI.

As táticas recentes do ator focaram em explorar a vulnerabilidade de path traversal no WinRAR rastreada como CVE-2025-8088, utilizando iscas temáticas de drones militares e listas de suprimentos médicos para a Ucrânia, bem como no uso de arquivos RDP anexados a e-mails de phishing para estabelecer um túnel inicial disparado pelo controle remoto do invasor. Uma vez implantado, o ator aplica rigorosamente o conceito de environmental keying, exigindo que a máquina vítima possua um nome de host, usuário ou domínio alvo pré-determinado para que a chave de descriptografia da configuração seja bem-sucedida, limitando severamente a execução em laboratórios analíticos.

Superfície afetada

O ataque abrange de forma contundente entidades governamentais, infraestrutura civil crítica e forças armadas centralizadas. Geograficamente, há um volume avassalador de telemetria apontando para sistemas em rede dentro da Ucrânia, suportado por abusos deliberados de infraestrutura governamental ucraniana comprometida, como o Serviço Regulador Estatal, para servir como repositório remoto e pontos de entrega de arquivos zip, mascarando a origem do atacante atrás de endereços IP confiáveis.

Entidades europeias, especificamente na Itália, Polônia, Alemanha e Países Baixos, também sofreram tentativas direcionadas, utilizando mensagens fraudalentas sobre processos eleitorais do "Circolo Degli Esteri" e documentos de convenções diplomáticas para enganar vítimas e funcionários associados. O ambiente de computação em nuvem aberto é profundamente afetado como via de fundação.

  • Ministérios das Relações Exteriores, diplomatas e alvos militares expostos, especialmente aqueles localizados na Ucrânia ou envolvidos com a política externa da Europa Central.
  • Plataformas de nuvem legítimas, como instâncias do Render, Glitch e o GitHub, comprometidas para hospedar componentes de C2 e a lógica do controlador do implante.
  • Infraestrutura educacional e governamental ucraniana comprometida, além de sites civis baseados em WordPress, abusados como hops de confiança para entregar cargas úteis.
  • Sistemas Windows e softwares sem patches de segurança em estáções de trabalho, particularmente versões vulneráveis do WinRAR, permitindo extração maliciosa camuflada.
Hunting e telemetria

Para identificar e conter proativamente a atividade maliciosa STOCKSTAY, as equipes de DFIR e threat hunting devem focar na comunicação de rede não padronizada e na arquitetura modular no lado do host. Diversas marcações textuais internas do malware podem servir como pivôs de detecção ao buscar logs em Analyzers e ferramentas SIEM corporativas.

  • Verificar tráfego de rede focado no endpoint exato /ws direcionando para domínios de fronteira em plataformas de hospedagem de aplicações legítimas (exemplos relevantes defangados: wss://canal1zac1a[.]onrender[.]com/ws, wss://google-ai-labs-it[.]onrender[.]com/ws, wss://wool-basalt-clock[.]glitch[.]me/ws).
  • Monitorar a criação de arquivos de banco de dados relacionais locais em formato SQLite nomeados de forma obscura como weather_data1.db, especialmente se contiverem esquemas não convencionais com colunas como degrees, pressure e wdata misturados a logs IP.
  • Ativar alertas no EDR para trocas intensas e recorrentes de mensagens interprocessos baseadas em WM_COPYDATA entre binários de fontes desconhecidas ou processos.NET isolados, não pertencentes a softwares comerciais.
  • Auditar a criação ou modificação de chaves de persistência por meio de valores no registro do Windows que referenciem nomes como "StockMarketView.exe", "MicrosoftUpdateOneDrive" ou nomes genéricos visando binários fora dos limites comerciais.
  • Investigar referências em memória e análises estáticas que apontem para métodos contidos na classe K1.Morpher, algoritmos de randomicação "Squirrel3" e builds.NET que chamem simultaneamente funções RSACryptoServiceProvider e AesCryptoServiceProvider com codificações suaes de Windows-1251.
Mitigação

As defesas corporativas exigem sanidade imediata na fronteira de correio eletrônico e vigilância ativa sobre arquivos iminentes de risco. A fragilidade do comprometimento inicial baseia-se fortemente na política de abertura de ficheiros recebidos de fontes externas.

  • Bloquear rigorosamente anexos de e-mails corporativos recebidos de fontes não confiáveis contendo arquivos com extensões .rdp, .hta, bem como scripts MSI não assinados digitalmente.
  • Aplicar de forma obrigatória correções para vulnerabilidades documentadas que permitam execução remota ou extração de arquivos, priorizando o patch dos sistemas para o identificador CVE-2025-8088.
  • Monitorar execuções de subprocessos do sistema operacional redirecionados pela saída padrão (STDOUT) sem interface gráfica, restringindo privilégios contidos no usuário do domínio.
  • Em proxies corporativos ou inspeções SSL/TLS de fronteira, criar regras para detectar requisições WSS initiator originando de estáções Windows sem histórico ou tráfego de base humana, direcionadas anormalmente a domínios onrender[.]com ou glitch[.]me.
  • Rotacionar credenciais locais e senhas de administrador expostas no domínio comprometido por ferramentas de inventário e auditoria de chaves SSH locais suspeitas produzidas por programas third-party.