Descoberta e escopo
O grupo de ameaças avançadas Turla, também conhecido como SUMMIT, Secret Blizzard e VENOMOUS BEAR, tem expandido silenciosamente seu arsenal de espionagem com um novo backdoor chamado STOCKSTAY. Identificado e documentado por analistas do Google Threat Intelligence Group (GTIG), o malware está sendo ativamente direcionado a organizações governamentais e militares na Ucrânia desde pelo menos dezembro de 2022. A análise detalhada revela uma campanha bem organizada, vinculada diretamente aos interesses de inteligência russa, utilizando infraestrutura comprometida localmente para mascarar suas atividades.
O STOCKSTAY foi originalmente disfarçado como uma ferramenta de visualização de dados de mercado de ações, com nomes de arquivos falsos e dados de configuração projetados para se misturar ao software cotidiano. Até 2025, variantes atualizadas foram encontradas se passando por visualizadores de PDF e utilitários de calculadora, demonstrando como o grupo se adapta continuamente. A evidência aponta para uma campanha de espionagem sofisticada que visa Ministérios das Relações Exteriores ocidentais, organizações de defesa e entidades militares ucranianas.
Arquitetura e funcionamento do malware
O malware é construído em .NET e comunica-se com os operadores através de uma conexão WebSocket segura, tornando-o difícil de detectar dentro do tráfego de rede normal. O STOCKSTAY opera através de três componentes coordenados: o STOCKMARKET, que orquestra as operações; o STOCKBROKER, que lida com a comunicação de rede sobre WebSocket; e o STOCKTRADER, que executa comandos nas máquinas infectadas, incluindo coleta de arquivos, modificações de registro e captura de tela.
Uma característica notável do STOCKSTAY é que ele roda apenas em dias úteis, entre 9h e 18h, combinando deliberadamente com o horário comercial para evitar detecção. Isso permite que o malware opere de forma mais discreta, minimizando o risco de ser identificado por monitoramento automatizado fora do horário de expediente. A arquitetura multi-componente espelha a de outro toolkit de espionagem do Turla, o KAZUAR, sugerindo que ambas as famílias compartilham um ambiente de desenvolvimento comum.
Infraestrutura comprometida e vetores de ataque
Um dos aspectos mais calculados das operações do Turla é o uso de infraestrutura ucraniana comprometida. O grupo estagiou payloads em um site pertencente ao Serviço Regulador Estatal da Ucrânia e em um servidor WordPress hospedado dentro do país. Ao usar fontes locais confiáveis para entregar o malware, o grupo contorna controles que sinalizariam infraestrutura estrangeira.
O acesso inicial baseou-se em phishing com arquivos maliciosos de Protocolo de Área de Trabalho Remota (RDP). No início de 2025, as vítimas receberam e-mails se passando por uma academia de treinamento de defesa, e ao abrir o anexo RDP, elas se conectavam à infraestrutura controlada pelo ator. Uma onda posterior em meados de 2025 usou uma plataforma de educação diplomática comprometida para atrair vítimas sob o pretexto de acessar um portal de treinamento online.
O Turla também utilizou uma conta do GitHub para hospedar o código do controlador do lado do servidor para o comando e controle (C2) do STOCKSTAY, vinculando-o a uma plataforma chamada Render para hospedagem de WebSocket. Essa configuração torna difícil para os operadores inspecionar o tráfego criptografado, ao mesmo tempo que obscurece a infraestrutura dedicada do grupo.
Análise técnica detalhada
O STOCKSTAY adota um novo método de ofuscação de strings baseado em um algoritmo pseudo-aleatório chamado Squirrel3, originalmente apresentado em uma conferência de desenvolvimento de jogos em 2017. O GTIG rastreia isso como K1MORPHER. Até junho de 2025, o mesmo código havia aparecido em amostras do KAZUAR, fortalecendo o caso de que ambas as famílias compartilham um ambiente de desenvolvimento comum.
A análise técnica revela que o malware utiliza ofuscação avançada para evitar a detecção por assinaturas tradicionais. A comunicação C2 é estabelecida através de conexões WebSocket seguras, que são frequentemente permitidas por firewalls corporativos, dificultando a identificação do tráfego malicioso. Além disso, o uso de arquivos legítimos comprometidos como vetores de entrega adiciona uma camada de confiança que engana os usuários e os sistemas de segurança.
Indicadores de comprometimento (IOCs)
Os analistas listaram diversos indicadores de comprometimento para ajudar as equipes de segurança a identificar a presença do STOCKSTAY em suas redes. Entre os IOCs estão URLs de WebSocket C2, como wss://wool-basalt-clock.glitch.me/ws e wss://weatherdataai.theworkpc.com/ws. Arquivos de download hospedados em sites governamentais ucranianos comprometidos também foram identificados, incluindo https://www.drs.gov.ua/wp-content/themes/twentytwentyfive/docs.zip.
Hashes SHA-256 de arquivos maliciosos, como d1e54270433a94a... para websocket-sharp.dll, e nomes de arquivos específicos como MicrosoftUpdateOneDrive.exe e calculator.rar são cruciais para a detecção. Contas do GitHub suspeitas, como Roberto1983-ai e ChikenFresh, também foram associadas à hospedagem de arquivos de teste e código do C2.
Medidas de mitigação recomendadas
As equipes de segurança são instadas a verificar seus ambientes contra os indicadores de comprometimento listados. Recomenda-se a implementação de monitoramento de tráfego de rede para conexões WebSocket incomuns entre processos não relacionados. A auditoria de permissões de arquivos e a verificação de integridade de servidores WordPress locais também são essenciais.
Além disso, a conscientização dos usuários sobre phishing direcionado, especialmente e-mails que se passam por instituições governamentais ou de defesa, é fundamental. A atualização de sistemas e a aplicação de patches de segurança devem ser priorizadas para mitigar vulnerabilidades exploradas por grupos como o Turla.
Perguntas frequentes
Qual é o principal objetivo do STOCKSTAY?
O principal objetivo é a coleta de inteligência e espionagem, focando em entidades governamentais e militares na Ucrânia e na Europa.
Como o STOCKSTAY se diferencia de outros malwares do Turla?
O STOCKSTAY utiliza uma arquitetura multi-componente e ofuscação avançada, além de operar apenas em horários comerciais para evitar detecção.
É possível detectar o STOCKSTAY com antivírus tradicionais?
A detecção pode ser difícil devido à ofuscação e ao uso de infraestrutura comprometida. Soluções de detecção comportamental e monitoramento de rede são mais eficazes.