كشفت مجموعة Google Threat Intelligence Group (GTIG) عن باب خلفي جديد غير موثق سابقًا يُعرف باسم STOCKSTAY، طورته مجموعة القرصنة الروسية المدعومة من الدولة والمعروفة باسم Turla. هذا الباب الخلفي المكتوب بلغة .NET استُخدم في هجمات تجسس إلكتروني ضد مؤسسات حكومية وعسكرية في أوكرانيا، إضافة إلى كيانات مرتبطة بالسياسة الخارجية الإيطالية. ويُظهر STOCKSTAY تشابهًا كبيرًا في البنية والوظائف مع باب تورلا الشهير Kazuar الذي ظهر منذ عام 2017.
بنية متعددة المكونات
يتكون STOCKSTAY من عدة وحدات تتواصل عبر قناة IPC باستخدام رسائل WM_COPYDATA، ويرتكز على مكتبة websocket-sharp مفتوحة المصدر لإنشاء اتصال آمن عبر WebSocket مع خوادم التحكم والسيطرة (C2). الوحدة الأساسية STOCKSTAY.MARKETMAKER تعمل كمُحمّل، وتقوم بتنزيل وتشغيل ثلاث وحدات إضافية:
- STOCKSTAY.STOCKBROKER: نفق Proxy-aware يسهّل الاتصال بالشبكة عبر WebSocket.
- STOCKSTAY.STOCKTRADER: الباب الخلفي الرئيسي المسؤول عن جمع المعلومات وتنفيذ الأوامر.
- STOCKSTAY.STOCKMARKET: وحدة تحكم تنسق الإعدادات مثل الخادم والفواصل الزمنية وأيام التشغيل، وتتواصل مع الوحدتين السابقتين لإدارة الأوامر والاتصالات.
قدرات تشغيلية واسعة
تتيح وحدة STOCKSTAY.STOCKTRADER تنفيذ أوامر متعددة تشمل:
- Del لحذف الملفات
- Dir لاستعراض المجلدات
- Get لجلب الملفات حسب الامتداد
- MkDir / RmDir لإنشاء أو حذف مجلدات
- Image لالتقاط صور للشاشة
- MultyTask لتنفيذ عدة مهام متزامنة
- Put لرفع الملفات
- RegRead / RegWrite / RegDelete للتعامل مع سجل ويندوز
- Run لتشغيل عمليات جديدة
- Sysinfo لجمع معلومات النظام
- UnpackArchive لاستخراج ملفات ZIP
أساليب توزيع وهجمات متقدمة
رُصدت حملات متعددة استخدمت STOCKSTAY منذ ديسمبر 2022، منها:
- رسائل تصيّد تحتوي على ملفات RDP خبيثة.
- أرشيفات RAR تستغل ثغرة CVE-2025-8088 في WinRAR، وهي نفس الثغرة التي استغلتها مجموعات روسية مثل Sandworm وGamaredon وRomCom.
- مثبتات MSI مستضافة على GitHub.
- ملفات HTA ضمن أرشيفات RAR، تعمل على تنزيل مكونات STOCKSTAY من مواقع ووردبريس مخترقة.
تشابه مع Kazuar ودلالات استراتيجية
أشارت جوجل إلى أن STOCKSTAY يشترك مع Kazuar في أسلوب فصل المهام بين المكونات، ما يعزز فرضية أن كلاهما قد يكون من تطوير الفريق نفسه. كما أن استخدام مواقع ووردبريس المخترقة كمنصات توزيع يُظهر استمرار تورلا في استغلال البنى التحتية الشرعية لتحقيق التخفي. اللافت أن STOCKSTAY استُخدم في مراحل مختلفة من العمليات، سواء للحصول على وصول أولي أو في مرحلة ما بعد الاستغلال، ما يعكس مرونة عالية في توظيفه بحسب طبيعة الهدف.






























