Як повідомляє Ukrainian Wall, фахівці Google Threat Intelligence Group виявили новий шпигунський бекдор, який активно використовується російськими урядовими хакерами проти України та європейських дипломатичних установ. Шкідливий інструмент отримав назву STOCKSTAY — це багатокомпонентна програма, написана на платформі .NET, яка дозволяє зловмисникам отримувати повний контроль над зараженими пристроями.

За даними звіту Google, за атаками стоїть угруповання Turla — одне з найстаріших і найнебезпечніших хакерських об'єднань рф, яке ще з радянських часів спеціалізується на кібершпигунстві. Нова кампанія спрямована насамперед проти військових структур і державних органів України, а також дипломатичних відомств країн Європейського Союзу.

Як працює бекдор STOCKSTAY

Архітектура STOCKSTAY складається із завантажувача та трьох основних модулів. Первинний завантажувач STOCKSTAY.MARKETMAKER розгортає всю шкідливу систему на комп'ютері жертви. Мережевий модуль STOCKSTAY.STOCKBROKER встановлює захищене з'єднання WebSocket із командним сервером хакерів через проксі-сервери. Головний функціональний модуль STOCKSTAY.STOCKTRADER безпосередньо збирає конфіденційні дані та виконує команди операторів. Окремий «оркестратор» STOCKSTAY.STOCKMARKET відповідає за маскування: він аналізує конфігураційні файли та визначає інтервали, коли вірус має «спати», щоб уникнути виявлення антивірусами.

Модуль STOCKTRADER надає хакерам практично необмежені можливості: видалення та створення папок, читання й перезапис реєстру Windows, зняття скріншотів екрана, завантаження сторонніх файлів та запуск будь-яких процесів в операційній системі. Обмін даними між модулями всередині зараженої машини відбувається через спеціальний канал міжпроцесного обміну WM_COPYDATA.

Методи проникнення та зв'язок із Kazuar

Розповсюдження STOCKSTAY базується на методах соціальної інженерії. Хакери розсилають фішингові листи, замасковані під академічне або дипломатичне листування. На початку 2025 року зловмисники масово надсилали шкідливі файли конфігурації RDP, які при відкритті з'єднували комп'ютер жертви з підконтрольною інфраструктурою. У листопаді 2025 року було зафіксовано нову хвилю атак — вірус доставляли в архівах RAR через експлуатацію вразливості CVE-2025-8088 в утиліті WinRAR. Цю ж уразливість активно використовували й інші угруповання рф, зокрема Sandworm, Gamaredon та RomCom.

Аналітики Google виявили на GitHub відкритий репозиторій під назвою ChikenFresh/google-ai-labs-it, де зберігався код керуючого сервера STOCKSTAY, написаний мовою Python. Сервер побудовано таким чином, що оператори захисних платформ не можуть дешифрувати вхідні повідомлення та визначити точне розташування хакерської інфраструктури. Фахівці також встановили, що розподіл ролей між модулями STOCKSTAY практично ідентичний структурі іншого інструменту Turla — бекдору Kazuar, що вказує на спільну команду розробників.

У мережах українських відомств STOCKSTAY зазвичай розгортали на фінальних етапах операції — після того, як інфраструктура була детально розвідана за допомогою Kazuar. Це свідчить про те, що хакери рф тестують новий інструментарій у реальних умовах, готуючи заміну старим точкам доступу на випадок їх блокування українськими кіберфахівцями.

Що робити українцям

Google рекомендує організаціям, які можуть бути ціллю Turla, посилити захист поштових систем, впровадити багатофакторну автентифікацію та провести аудит вихідних мережевих з'єднань на предмет підозрілої активності, пов'язаної з WebSocket-трафіком. Особливу увагу варто звернути на листи з вкладеннями у форматі RDP та архіви RAR від невідомих відправників — навіть якщо тема листа виглядає легітимною.

Раніше Ukrainian Wall писав: google вкладає мільйони в українців: кого нова система у «дії» працевлаштує першою.

Ми вже повідомляли: секретні креслення tesla та дані apple злили в даркнет: що викрали хакери.