Google Threat Intelligence Group (GTIG) ha revelado detalles sobre STOCKSTAY, una nueva puerta trasera (backdoor) en .NET atribuida al grupo de amenazas patrocinado por el estado ruso, Turla. Este implante ha sido desplegado en ataques de ciberespionaje dirigidos a organizaciones gubernamentales y militares en Ucrania, así como a entidades con interés en la política exterior italiana. STOCKSTAY, cuyo desarrollo se remonta a diciembre de 2022, comparte código y funcionalidad con Kazuar, otro implante utilizado por Turla desde 2017.
STOCKSTAY es un backdoor multiplataforma y modular, escrito en .NET y basado en el framework Windows Forms. Se comunica con su servidor de comando y control (C2) mediante una conexión WebSocket segura. Inicialmente diseñado para simular una herramienta de visualización de datos bursátiles, el malware ha sido adaptado para hacerse pasar por programas inofensivos como visores de PDF o calculadoras. Su estructura se compone de un descargador, STOCKSTAY.MARKETMAKER, que instala y ejecuta tres módulos adicionales: STOCKSTAY.STOCKBROKER para la comunicación de red, STOCKSTAY.STOCKTRADER como el backdoor principal que recopila información, y STOCKSTAY.STOCKMARKET, el orquestador que gestiona la configuración y la ejecución del malware.
Las capacidades de STOCKSTAY.STOCKTRADER incluyen la manipulación de archivos y directorios (borrar, enumerar, obtener, crear), captura de pantalla, ejecución de múltiples tareas, carga de archivos, lectura/escritura/eliminación de valores del registro de Windows, ejecución de procesos y recopilación de información del sistema. Los actores de amenazas han empleado múltiples vectores de infección, como correos electrónicos de phishing que contienen archivos RDP maliciosos o archivos RAR que explotan la vulnerabilidad CVE-2025-8088 de WinRAR. Otras campañas han utilizado instaladores MSI y archivos HTML Application (HTA) para desplegar el descargador inicial, que luego obtiene los componentes principales desde instancias comprometidas de WordPress.
Es fundamental que las organizaciones implementen defensas robustas contra ataques de phishing y mantengan sus sistemas y software actualizados para mitigar vulnerabilidades conocidas, como la de WinRAR. Dada la sofisticación de Turla y el uso de un backdoor de múltiples etapas, la detección temprana y la respuesta eficaz son cruciales. La supervisión continua de la red para identificar comunicaciones anómalas (como conexiones WebSocket a C2s maliciosos) y la actividad sospechosa en los endpoints pueden ayudar a prevenir el compromiso o limitar su impacto.
Qué significa para tu empresa: Este tipo de ataques persistentes y modulares, patrocinados por estados, demuestran la necesidad de una estrategia de ciberseguridad avanzada y proactiva. La capacidad de detectar y responder a un backdoor multifacético como STOCKSTAY requiere una vigilancia constante. Nuestro servicio de seguridad gestionada por capas que incluye protección de endpoints EDR/XDR y un SOC con monitoreo 24/7 es esencial para identificar y neutralizar amenazas complejas, desde el intento inicial de phishing hasta la actividad sigilosa del C2, asegurando la integridad de su infraestructura ante actores sofisticados.
Fuente original: The Hacker News — ver artículo →