Turla: il backdoor STOCKSTAY colpisce Ucraina dal 2022

Il Google Threat Intelligence Group (GTIG) ha reso pubblica il 25 giugno 2026 l'analisi tecnica di STOCKSTAY, un backdoor multi-componente sviluppato dall'APT Turla per operazioni di cyber-spionaggio contro organizzazioni governative e militari ucraine. Il malware è in sviluppo attivo dal dicembre 2022 e condivide architettura e porzioni di codice con Kazuar, il toolkit storico del gruppo russo. La rivelazione documenta una strategia di "ridondanza parallela": Turla non abbandona Kazuar, ma mantiene attivi entrambi gli ecosistemi per garantire persistenza anche se uno dei due viene scoperto e rimosso.

Una fabbrica di accesso: l'architettura a quattro componenti

STOCKSTAY non è un singolo eseguibile, ma un ecosistema distribuito in cui ogni modulo ha una funzione specializzata. MARKETMAKER agisce da downloader iniziale; STOCKBROKER funge da tunneler proxy-aware; STOCKTRADER è il backdoor principale con capacità di esecuzione remota; STOCKMARKET è l'orchestrator che coordina i flussi. I quattro elementi interagiscono attraverso messaggi WM_COPYDATA, un meccanismo di Inter-Process Communication nativo di Windows che consente lo scambio dati tra finestre senza ricorrere a named pipe o socket di rete. La scelta tecnica è significativa. WM_COPYDATA è meno monitorato delle comunicazioni di rete standard e permette al malware di operare interamente in user-mode, riducendo l'impronta sui sistemi di rilevamento endpoint. L'uso del framework Windows Forms per l'interfaccia visiva, combinato con la libreria open-source websocket-sharp per il canale C2, indica una progettazione orientata alla mimetizzazione: STOCKSTAY può presentarsi come applicazione legittima senza sollevare anomalie comportamentali ovvie. Il canale WebSocket è cifrato con RSA 4096-bit, una lunghezza che il GTIG documenta come generata dinamicamente al primo avvio di STOCKMARKET. La chiave pubblica viene trasmessa al server C2; quella privata rimane sulla macchina compromessa. Questa asimmetria ha un effetto concreto: anche se un analista intercetta il traffico o compromette un nodo di infrastruttura C2, non può decifrare i messaggi in arrivo. Il server controllore possiede solo la chiave pubblica della vittima. Secondo il GTIG, "the inability for the server to decrypt inbound messages prevents introspection by platform operators, and further obfuscates the location of the threat actor's dedicated infrastructure".

Come entra: dall'RDP malevolo al repository GitHub

Il vettore di accesso iniziale si articola su più fronti, tutti documentati dal GTIG con campioni analizzati. Le email di phishing trasportano allegati RDP (Remote Desktop Protocol) che, se aperti, instaurano connessioni a server controllati dagli attaccanti. Archivi RAR sfruttano CVE-2025-8088, una vulnerabilità di WinRAR con punteggio CVSS 8.8 HIGH secondo il NVD, che permette l'esecuzione di codice arbitrario all'apertura di file apparentemente innocui. La criticità è stata sufficiente a Turla per una campagna di novembre 2025 diretta a circa venti target ucraini. Altre consegne avvengono tramite installer MSI, uno dei quali è stato ospitato su GitHub in un repository pubblico denominato 'ChikenFresh/google-ai-labs-it'. Il GTIG ha identificato in questo repository un'implementazione Python del server controller WebSocket, funzionalmente collegata al malware ma senza attribuzione diretta all'attore. Turla ha inoltre compromesso istanze WordPress legittime per ospitare archivi ZIP contenenti i componenti principali di STOCKSTAY. Il gruppo ha affinato nel tempo la propria strategia di lure. I campioni più antichi, risalenti al 2022-2023, si mascheravano come tool di visualizzazione dati di borsa — da cui la radice del nome "STOCK". A partire dal 2025 il GTIG ha osservato varianti che impersonano PDF viewer e calcolatrici. Il tema di delivery si è spostato su contenuti accademici e diplomatici: email provenienti da un account università ucraina compromesso e da una piattaforma di educazione diplomatica violata. Questa evoluzione riflette una conoscenza approfondita del contesto target: i destinatari sono più propensi ad aprire documenti apparentemente istituzionali che allegati generici.

"The group appears to be investing in redundant, parallel malware ecosystems to ensure persistent access even when individual tools are discovered and remediated" — Google a Recorded Future News

Il gemello di Kazuar: evoluzione parallela, non sostituzione

La relazione tra STOCKSTAY e Kazuar è il cuore dell'analisi GTIG. Kazuar è un toolkit associato a Turla dal 2017, noto per la sua versatilità e longevità. STOCKSTAY ne riprende sia porzioni di codice sia scelte architetturali: il GTIG parla esplicitamente di "significant code and functional overlaps" e di sviluppo "in KAZUAR's image". Tuttavia, le differenze sono altrettanto rilevanti. Kazuar è un framework maturo, ampiamente analizzato dalla comunità di threat intelligence; STOCKSTAY è una costruzione più recente, con componenti separati e un canale C2 basato su WebSocket anziché sulle tradizionali connessioni HTTP/HTTPS. Google ha osservato STOCKSTAY dispiegato sia per accesso iniziale che post-exploitation in ambienti già compromessi da Kazuar. Questa coabitazione non è casuale. Il GTIG valuta con bassa confidenza che Turla stia testando STOCKSTAY in scenari dove l'accesso esistente tramite Kazuar rischia di essere rimediato. La logica operativa è quella della ridondanza: non affidarsi a un unico toolkit, ma mantenere pipeline alternative pronte all'attivazione. Il modello ha implicazioni difensive immediate. La scoperta di Kazuar in una rete non garantisce più, di per sé, l'espulsione completa dell'attaccante. Turla può aver già piantato STOCKSTAY o essere in grado di attivarlo in risposta alla rimozione del primo. Questa "maturità operazionale", per usare il termine del GTIG, separa i gruppi APT di primo livello da quelli che si limitano a riutilizzare tool esistenti.

L'orizzonte europeo: campioni early e ministeri degli esteri

Se il targeting primario è ucraino, la cronologia di STOCKSTAY include un capitolo europeo significativo. Versioni iniziali del backdoor, individuate dal dicembre 2023 su VirusTotal con componenti separati, erano state impiegate contro entità in Italia, Paesi Bassi, Polonia e Germania. Tra queste, il GTIG documenta un ministero degli esteri — senza specificare il paese — colpito da una delle prime varianti del malware. Questa fase europea, datata 2023, precede il consolidamento del targeting ucraino e potrebbe riflettere una fase di collaudo o una raccolta preliminare di accessi strategici. Il GTIG non attribuisce conflitti tra le diverse fonti su questo punto, ma lascia aperto il significato geopolitico: Turla raccoglieva intelligence diplomatica europea mentre costruiva l'infrastruttura per operazioni più intensive in Ucraina.

Cosa fare adesso

Le raccomandazioni operative derivano direttamente dai pattern documentati dal GTIG. La natura multi-vettore della consegna richiede un filtraggio esteso: i file RDP non devono essere trattati come innocui documenti di configurazione remota, ma come potenziali vettori di esecuzione. La stessa attenzione vale per gli archivi RAR, specialmente in ambienti dove WinRAR potrebbe non essere ancora corretto per CVE-2025-8088. La compromissione di infrastrutture legittime — università, piattaforme diplomatiche, siti WordPress, repository GitHub — invalida l'approccio basato esclusivamente sulla reputazione del dominio mittente. Il filtraggio deve considerare il contenuto specifico e il contesto comportamentale, non solo la provenienza apparente. La configurazione cifrata di STOCKSTAY, con identificativi unici per macchina, indica che l'attore conosce il target prima della consegna: la ricezione di comunicazioni inaspettatamente mirate, anche da mittenti istituzionali noti, merita verifica out-of-band. Infine, la coabitazione documentata con Kazuar impone di estendere le indagini post-compromissione oltre il primo toolkit identificato. La rimozione di Kazuar deve essere considerata un waypoint, non una conclusione.

La lezione della ridondanza parallela

STOCKSTAY non è una novità isolata, ma un indicatore di come gli APT di primo livello stanno strutturando le proprie operazioni. Turla ha investito oltre tre anni — dal dicembre 2022 al 2026 — per costruire un ecosistema gemello di quello già funzionante, con risorse di sviluppo dedicate e infrastrutture C2 separate. Il costo opportunità è elevato; la scelta di sostenerlo indica una valutazione strategica: la perdita di un toolkit, per quanto sofisticato, non deve interrompere l'accesso a target di intelligence prioritaria. Per le organizzazioni governative e di difesa, il messaggio è che la threat intelligence non può più concentrarsi su indicatori di compromissione statici. La sovrapposizione STOCKSTAY-Kazuar richiede un monitoraggio basato su comportamenti e pattern architetturali, non solo su firme di hash. Turla ha dimostrato di essere disposto a ricostruire da zero per mantenere l'accesso. La sfida difensiva è misurarsi con un avversario che considera la scoperta del proprio malware un costo accettabile, non una sconfitta.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Approfondimenti correlati

• Burnyard: analisi malware locale più veloce del cloud, ma a costo di accuratezza
• ThreatsDay giugno 2026: Miasma toolkit leaked, Claude Code patched e AI agent
• Gaslight: malware macOS inganna gli analizzatori AI con prompt injection

Fonti

• https://therecord.media/russia-turla-espionage-ukraine-stockstay-malware
• https://thehackernews.com/2026/06/google-details-turlas-new-stockstay.html
• https://www.securityweek.com/russian-apt-deploys-stockstay-backdoor-against-ukrainian-targets/
• https://cloud.google.com/blog/topics/threat-intelligence/stockstay-turla-intelligence-gathering
• https://support.google.com/mail/answer/2591015
• https://therecord.media/turla-hackers-targeting-ukraine-defense

---