Descoberta e escopo
Uma nova campanha de ciberespionagem detalhada está utilizando arquivos de desktop remoto (RDP) falsos e uma falha recentemente corrigida no WinRAR para implantar uma backdoor furtiva chamada STOCKSTAY em computadores na Ucrânia. O malware se disfarça como software cotidiano, incluindo rastreadores de mercado de ações e aplicativos de calculadora, para evitar levantar suspeitas enquanto coleta informações silenciosamente.
Vetor e exploração
Os pesquisadores da Picus Security rastrearam esta atividade como parte de uma visão mais ampla do grupo de ameaças por trás dela, conhecido como Turla ou Secret Blizzard. O grupo está ligado ao Serviço Federal de Segurança da Rússia e tem operado operações de espionagem desde 2004. A campanha utiliza arquivos RDP maliciosos que, ao serem abertos, se conectam silenciosamente a infraestrutura controlada pelos atacantes. Além disso, o grupo armou uma falha de travessia de caminho no WinRAR (CVE-2025-8088) para depositar componentes do STOCKSTAY diretamente na pasta de inicialização da vítima durante a extração do arquivo.
Evidências e limites
O STOCKSTAY é construído em .NET e composto por vários componentes separados, cada um lidando com uma tarefa diferente, como falar com controladores, mover arquivos ou executar comandos. Essa design modular permite que os atacantes troquem peças sem reconstruir a ferramenta inteira. O malware também usa uma técnica que se assemelha a uma caixa postal de queda morta, onde máquinas infectadas e operadores verificam o mesmo relay para mensagens, dificultando a detecção de tráfego de comando e controle.
Impacto e alcance
O impacto é focado na Ucrânia, mas a sofisticação da campanha sugere que técnicas similares podem ser usadas globalmente. O uso de plataformas de nuvem legítimas para tráfego de C2 permite que o malware se misture ao tráfego web comum. A criptografia de dados de configuração baseada no hostname da vítima impede a análise forense simples em máquinas de pesquisadores.
Medidas de mitigação recomendadas
Equipes de segurança devem testar suas defesas contra comportamentos conhecidos da Turla, em vez de confiar apenas na detecção de assinatura. Simular esses padrões de ataque pode ajudar a identificar lacunas. Revisar conexões de saída para serviços de hospedagem em nuvem não familiares é um primeiro passo prático. Manter o WinRAR e ferramentas de arquivo atualizadas fecha uma das portas de entrada vistas nestes ataques.
Comparação com ataques anteriores
Esta campanha lembra operações anteriores da Turla que utilizavam arquivos RDP e exploração de software legítimo. A diferença é o uso mais sofisticado de plataformas de nuvem para C2 e a integração de exploits de dia zero ou recentemente corrigidos como o WinRAR.
O que os CISOs devem fazer imediatamente
- Monitorar conexões de saída para domínios suspeitos como eset.ydns[.]eu e ekrn.ydns[.]eu.
- Verificar a presença de arquivos .lnk na pasta de inicialização do Windows.
- Atualizar o WinRAR para a versão mais recente.
- Implementar treinamento de conscientização sobre arquivos RDP não solicitados.
Perguntas frequentes
Qual é o objetivo da campanha? Espionagem e coleta de informações sensíveis.
Existe risco para o Brasil? Embora o foco seja a Ucrânia, a sofisticação sugere que outras regiões podem ser alvo em campanhas futuras.