Nhóm tác nhân đe dọa do nhà nước Nga bảo trợ được gọi là Turla vừa bị phát hiện sử dụng một backdoor .NET chưa từng được ghi nhận trước đây mang tên STOCKSTAY. Mã độc này đã được triển khai chống lại các tổ chức chính phủ và quân đội tại Ukraine, cũng như các thực thể quan tâm đến chính sách đối ngoại của Ý.
Mô tả về backdoor trên Windows này là một công cụ đang được nhóm tin tặc liên tục phát triển, Google Threat Intelligence Group (GTIG) cho biết công cụ gián điệp mạng này chia sẻ đáng kể mã nguồn và các chức năng tương đồng với Kazuar, một loại mã độc chủ lực được đối thủ này sử dụng từ năm 2017. Các hoạt động phát triển mã độc này được nghi ngờ bắt đầu từ tháng 12 năm 2022.
"STOCKSTAY là một backdoor đa thành phần được viết bằng .NET, sử dụng framework Windows Forms, giao tiếp với máy chủ điều khiển (C2) thông qua kết nối WebSocket bảo mật, tận dụng thư viện mã nguồn mở websocket-sharp," GTIG cho biết.
"STOCKSTAY bao gồm một số thành phần riêng biệt giao tiếp với nhau qua kênh truyền thông liên tiến trình (IPC), dựa trên việc trao đổi các thông điệp WM_COPYDATA."
Kiến trúc và các thành phần của STOCKSTAY
Các bằng chứng cho thấy mã độc này ban đầu được thiết kế để giả mạo một công cụ xem dữ liệu thị trường chứng khoán, trước khi được điều chỉnh để ngụy trang dưới dạng các chương trình vô hại khác như trình xem PDF và tiện ích máy tính. Điểm bắt đầu là một thành phần trình tải xuống (downloader) có mã hiệu STOCKSTAY.MARKETMAKER chuyên cài đặt và thực thi ba module bổ sung:
- STOCKSTAY.STOCKBROKER: Một công cụ đường hầm (tunneler) hỗ trợ proxy, tạo điều kiện cho khả năng giao tiếp mạng cho toàn bộ bộ công cụ STOCKSTAY bằng cách thiết lập kết nối WebSocket bảo mật đến một máy chủ từ xa được chỉ định.
- STOCKSTAY.STOCKTRADER: Backdoor chính cho phép thu thập thông tin.
- STOCKSTAY.STOCKMARKET: Một bộ điều phối hoặc kiểm soát thực hiện phân tích cấu hình của backdoor để thiết lập các tùy chọn thực thi mã độc, chẳng hạn như máy chủ WebSocket, khoảng thời gian chờ và những ngày không hoạt động. Nó cũng giao tiếp với STOCKSTAY.STOCKBROKER để cung cấp chi tiết máy chủ và nhận thông điệp qua kết nối WebSocket đã thiết lập, đồng thời gửi lệnh đến STOCKSTAY.STOCKTRADER để thực thi trên máy chủ bị xâm nhập.
Dưới đây là một số lệnh hỗ trợ của STOCKSTAY.STOCKTRADER:
- Del: Xóa các tệp được chỉ định
- Dir: Liệt kê các thư mục được chỉ định
- Get: Lấy một hoặc nhiều tệp phù hợp với một số phần mở rộng nhất định
- MkDir: Tạo một hoặc nhiều thư mục
- RmDir: Xóa các thư mục được chỉ định
- Image: Chụp ảnh màn hình của thiết bị
- MultyTask: Chạy một danh sách các tác vụ được phân tách bằng dấu chấm phẩy cùng một lúc
- Put: Tải một tệp lên thiết bị
- RegRead: Đọc giá trị Windows Registry
- RegDelete: Xóa giá trị Windows Registry
- RegWrite: Thiết lập giá trị Windows Registry
- Run: Thực thi một tiến trình mới
- Sysinfo: Thu thập thông tin hệ thống
- UnpackArchive: Giải nén tệp ZIP được chỉ định vào thư mục hiện tại
Mối liên hệ với hạ tầng C2 của Turla
Google cho biết họ đã xác định được một kho lưu trữ GitHub công khai ("ChikenFresh/google-ai-labs-it") chứa bản thực thi bằng Python của bộ điều khiển máy chủ STOCKSTAY WebSocket phía nạn nhân, chịu trách nhiệm xử lý các thông điệp đến từ một máy khách được kết nối và ghi lại địa chỉ IP của nó.
GTIG lưu ý: "Việc máy chủ không thể giải mã các thông điệp đến ngăn cản các nhà vận hành nền tảng kiểm tra nội dung, đồng thời gây khó khăn hơn trong việc xác định vị trí hạ tầng chuyên dụng của tác nhân đe dọa. Kiến trúc này có phần giống với hạ tầng C2 đa bước của Kazuar mà Turla sử dụng."
Các cuộc tấn công phát tán STOCKSTAY thường xuyên sử dụng các mồi nhử mang chủ đề học thuật hoặc ngoại giao để nhắm vào các tổ chức chính phủ và quân đội tại Ukraine. Các phiên bản đầu tiên của backdoor này đã được sử dụng trong các cuộc tấn công nhắm vào các thực thể ở Ý, Hà Lan, Ba Lan và Đức.
Phương thức xâm nhập đa dạng
Trong ít nhất một trường hợp được quan sát vào đầu năm 2025, các tác nhân Turla được cho là đã sử dụng email lừa đảo chứa tệp đính kèm RDP độc hại. Khi được mở, nó sẽ thiết lập kết nối giữa thiết bị của nạn nhân và hạ tầng do kẻ tấn công kiểm soát, qua đó các tải trọng (payload) bổ sung, bao gồm cả STOCKSTAY, có thể được triển khai.
Gần đây nhất là vào tháng 11 năm 2025, một làn sóng email lừa đảo nhắm vào Ukraine đã phát tán mã độc qua các kho lưu trữ RAR khai thác lỗ hổng CVE-2025-8088. Đây là một lỗ hổng WinRAR đã bị khai thác bởi nhiều nhóm tin tặc Nga như Sandworm, Gamaredon và RomCom.
Các chiến dịch khác đã tận dụng trình cài đặt MSI (trong một trường hợp được lưu trữ trên GitHub) và các tệp RAR chứa mã lệnh HTML Application (HTA) để thực thi một biến thể của STOCKSTAY.MARKETMAKER. Trình tải xuống sau đó sẽ truy xuất một kho lưu trữ ZIP chứa các thành phần chính của STOCKSTAY được lưu trữ trên một trang WordPress bị xâm nhập.
Một khía cạnh đáng chú ý của mã độc này là nó được Turla sử dụng ở nhiều giai đoạn khác nhau của chiến dịch: một là cách để giành quyền truy cập ban đầu vào các môi trường chưa được khảo sát trước đó, và hai là trong giai đoạn sau khi đã thâm nhập để thực thi trên một máy chủ cụ thể sau khi trinh sát.
GTIG giải thích: "Cấu hình này ngụ ý rằng, ở giai đoạn này, tác nhân biết chính xác máy nào đang bị nhắm mục tiêu, có thể thông qua các quyền truy cập hiện có vào môi trường mục tiêu. Điều này đã được nhìn thấy trong các mạng lưới của Ukraine, nơi STOCKSTAY được triển khai vào cuối một chiến dịch mà trước đó đã dựa nhiều vào các công cụ khác của nhóm như Kazuar."
Mối quan hệ chặt chẽ với Kazuar
Sự trùng lặp của STOCKSTAY với Kazuar bắt nguồn từ những điểm tương đồng trong cách phân chia trách nhiệm giữa các thành phần khác nhau. Việc Kazuar sử dụng các module Kernel, Bridge và Worker đã được đội ngũ Microsoft Threat Intelligence trình bày chi tiết vào tháng trước. Sự tách biệt của các thành phần dựa trên vai trò trong STOCKSTAY lần đầu tiên được phát hiện trong một mẫu được tải lên VirusTotal vào tháng 12 năm 2023 từ Hà Lan.
Những điểm chung này làm dấy lên khả năng cả STOCKSTAY và Kazuar có thể được phát triển và duy trì một phần bởi cùng một nhà phát triển hoặc cùng một đội ngũ.
Google nhận định: "Chúng tôi tin rằng STOCKSTAY đang được phát triển theo hình mẫu của Kazuar, với một số quyết định thiết kế có khả năng bắt nguồn từ kinh nghiệm dày dặn của tác nhân đe dọa trong việc thực hiện các hoạt động bằng bộ công cụ lâu đời này. Cả hai hệ sinh thái đều phụ thuộc nặng nề vào phát triển .NET và đã được quan sát thấy sử dụng các trang WordPress bị xâm nhập trong các giai đoạn vận hành khác nhau."