Как сообщает Ukrainian Wall, специалисты Google Threat Intelligence Group обнаружили новый шпионский бекдор, который активно используется российскими правительственными хакерами против Украины и европейских дипломатических учреждений. Вредоносный инструмент получил название STOCKSTAY — это многокомпонентная программа, написанная на платформе .NET, которая позволяет злоумышленникам получать полный контроль над зараженными устройствами.

По данным отчета Google, за атаками стоит группировка Turla — одно из старейших и опаснейших хакерских объединений рф, которое еще с советских времен специализируется на кибершпионаже. Новая кампания направлена прежде всего против военных структур и государственных органов Украины, а также дипломатических ведомств стран Европейского Союза.

Как работает бекдор STOCKSTAY

Архитектура STOCKSTAY состоит из загрузчика и трех основных модулей. Первичный загрузчик STOCKSTAY.MARKETMAKER разворачивает всю вредоносную систему на компьютере жертвы. Сетевой модуль STOCKSTAY.STOCKBROKER устанавливает защищенное соединение WebSocket с командным сервером хакеров через прокси-серверы. Главный функциональный модуль STOCKSTAY.STOCKTRADER непосредственно собирает конфиденциальные данные и выполняет команды операторов. Отдельный «оркестратор» STOCKSTAY.STOCKMARKET отвечает за маскировку: он анализирует конфигурационные файлы и определяет интервалы, когда вирус должен «спать», чтобы избежать обнаружения антивирусами.

Модуль STOCKTRADER предоставляет хакерам практически неограниченные возможности: удаление и создание папок, чтение и перезапись реестра Windows, снятие скриншотов экрана, загрузка сторонних файлов и запуск любых процессов в операционной системе. Обмен данными между модулями внутри зараженной машины происходит через специальный канал межпроцессного обмена WM_COPYDATA.

Методы проникновения и связь с Kazuar

Распространение STOCKSTAY базируется на методах социальной инженерии. Хакеры рассылают фишинговые письма, замаскированные под академическую или дипломатическую переписку. В начале 2025 года злоумышленники массово отправляли вредоносные файлы конфигурации RDP, которые при открытии соединяли компьютер жертвы с подконтрольной инфраструктурой. В ноябре 2025 года была зафиксирована новая волна атак — вирус доставляли в архивах RAR через эксплуатацию уязвимости CVE-2025-8088 в утилите WinRAR. Эту же уязвимость активно использовали и другие группировки рф, в частности Sandworm, Gamaredon и RomCom.

Аналитики Google обнаружили на GitHub открытый репозиторий под названием ChikenFresh/google-ai-labs-it, где хранился код управляющего сервера STOCKSTAY, написанный на языке Python. Сервер построен таким образом, что операторы защитных платформ не могут расшифровать входящие сообщения и определить точное расположение хакерской инфраструктуры. Специалисты также установили, что распределение ролей между модулями STOCKSTAY практически идентично структуре другого инструмента Turla — бекдора Kazuar, что указывает на общую команду разработчиков.

В сетях украинских ведомств STOCKSTAY обычно разворачивали на финальных этапах операции — после того, как инфраструктура была детально разведана с помощью Kazuar. Это свидетельствует о том, что хакеры рф тестируют новый инструментарий в реальных условиях, готовя замену старым точкам доступа на случай их блокировки украинскими киберспециалистами.

Что делать украинцам

Google рекомендует организациям, которые могут быть целью Turla, усилить защиту почтовых систем, внедрить многофакторную аутентификацию и провести аудит исходящих сетевых соединений на предмет подозрительной активности, связанной с WebSocket-трафиком. Особое внимание стоит обратить на письма с вложениями в формате RDP и архивы RAR от неизвестных отправителей — даже если тема письма выглядит легитимной.

Ранее Ukrainian Wall писал: google вкладывает миллионы в украинцев: кого новая система в «дие» трудоустроит первой.

Мы уже сообщали: секретные чертежи tesla и данные apple слили в даркнет: что украли хакеры.