De aan Rusland gelinkte APT-groep Turla richt zich sinds 2022 met een nieuwe backdoor, StockStay, op overheids- en militaire organisaties in Oekraïne. Dit meldt de Google Threat Intelligence Group (GTIG). Turla, ook bekend onder namen als Krypton en Venomous Bear, is al actief sinds ten minste 2004 en werd in 2023 officieel door de Verenigde Staten gekoppeld aan de Russische Federale Veiligheidsdienst (FSB).

StockStay is een multi-component backdoor geschreven in .NET, ontworpen voor langdurige cyberspionage. De malware vertoont overlap in code en functionaliteit met Kazuar, een bekende Turla-implantaat die sinds 2015 bestaat. Aanvankelijk deed StockStay zich voor als een tool voor het bekijken van aandelenmarktgegevens, maar recentere versies vermommen zich als PDF-lezers en rekenmachineprogramma’s. Voor command-and-control communicatie maakt de backdoor gebruik van een beveiligde WebSocket-verbinding via de open source websocket-sharp bibliotheek. De verschillende componenten communiceren onderling via een inter-process communicatiekanaal.

De payloads van StockStay worden opgehaald van een externe server met een proxy-aware downloader genaamd StockStay.MarketMaker, die op de achtergrond draait en autorun-instellingen aanmaakt om de kerncomponenten automatisch te starten. Netwerkcommunicatie verloopt via StockStay.StockBroker, een proxy-aware tunneler, terwijl configuratie wordt geregeld door StockStay.StockMarket. De configuratiegegevens zijn versleuteld opgeslagen op schijf. De backdoor zelf, StockStay.StockTrader, ondersteunt diverse commando’s zoals het downloaden, exfiltreren en wijzigen van bestanden, manipulatie van mappen, schermopnames, taakverwerking, registerwijzigingen, procesuitvoering en het verzamelen van systeeminformatie.

De meeste waargenomen StockStay-activiteiten richten zich op Oekraïense overheids- en militaire entiteiten, in lijn met Russische belangen in de regio. Daarbij wordt gebruikgemaakt van lokaal gecompromitteerde infrastructuur, waaronder overheidsdiensten, voor de verspreiding van de malware. Eerder richtte StockStay zich ook op Europese doelen in Italië, Nederland, Polen en Duitsland, waaronder een ministerie van buitenlandse zaken, al zijn de precieze slachtoffers hiervan niet bevestigd.

De operaties van StockStay maken gebruik van thema’s rond academische en diplomatieke onderwerpen. Zo worden phishingmails verstuurd vanaf gecompromitteerde e-mailaccounts van een Oekraïense universiteit en een diplomatiek onderwijsplatform. Bestandsnamen bevatten vaak namen van onderwijsinstellingen, en phishingdomeinen bevatten termen als ‘education’ en ‘diplo’. Ook zijn backdoor MSI-bestanden met de naam ‘DiplomacyEduAI’ aangetroffen. Daarnaast zet Turla de backdoor in via kwaadaardige RDP-configuratiebestanden die via phishingmails worden verspreid, waarvan sommige gehost worden op een gecompromitteerd diplomatiek onderwijsplatform.

GTIG constateerde dat Turla StockStay op verschillende momenten in een aanval inzet: voor initiële toegang, verkenning of in latere fasen via reeds verkregen toegang tot het slachtoffer. In een aanval in november 2025 werden phishingmails gestuurd naar twintig Oekraïense doelen met een kwaadaardig RAR-archief dat misbruik maakt van CVE-2025-8088 om StockStay uit te voeren. Eerder waarschuwde GTIG al dat meerdere Russische APT’s en cybercrimegroepen zich richten op deze kwetsbaarheid in WinRAR.