Turla añade STOCKSTAY a su arsenal: un backdoor .NET en constante evolución

El actor de amenazas Turla, cuya actividad se atribuye a los servicios de inteligencia rusos, ha incorporado a su kit de herramientas un implante inédito para sistemas Windows. Bautizado como STOCKSTAY, este backdoor está escrito en .NET y, según la investigación del Google Threat Intelligence Group (GTIG), se encuentra en desarrollo activo, lo que sugiere que sus capacidades irán ampliándose con el tiempo.

Objetivos: gobierno, militar e intereses italianos

Las campañas identificadas apuntan principalmente a instituciones gubernamentales y fuerzas militares de Ucrania. De forma paralela, se han detectado intrusiones contra organizaciones que mantienen vínculos o interés en la política exterior de Italia, lo que amplía el alcance geográfico de esta operación más allá del conflicto en Europa del Este.

Esta dualidad de objetivos es coherente con el patrón histórico de Turla: recopilar inteligencia estratégica para el Kremlin en frentes tanto militares como diplomáticos.

Un implante vivo y en evolución

Que STOCKSTAY se describa como «continuamente desarrollado» es una señal de alerta relevante para los defensores. Los implantes en activa maduración son significativamente más difíciles de rastrear mediante firmas estáticas, ya que los indicadores de compromiso pueden quedar obsoletos en cuestión de semanas. El uso de .NET facilita además la ofuscación del código y la reutilización de componentes legítimos del sistema operativo para evadir soluciones de seguridad convencionales.

El GTIG no ha precisado el vector de infección inicial ni ha publicado aún el análisis técnico completo, pero el mero hecho de que el implante haya permanecido sin documentar hasta ahora indica un esfuerzo deliberado de Turla por mantenerlo bajo el radar de la comunidad de inteligencia de amenazas.

Contexto: Turla, uno de los grupos APT más longevos

Turla lleva activo desde al menos la década de 1990 y acumula un historial de operaciones de ciberespionaje de alto perfil. El grupo es conocido por su disciplina operacional, su capacidad para pivotar entre infraestructuras comprometidas de terceros y por adoptar técnicas de living-off-the-land que dificultan la atribución. STOCKSTAY encaja en ese perfil: minimalismo funcional al servicio de la persistencia y la exfiltración silenciosa.


¿Estás cubierto en DefensOps?

Aunque STOCKSTAY es un implante novedoso sin técnicas MITRE ATT&CK formalmente asignadas aún, DefensOps puede ayudarte a detectar comportamientos anómalos asociados a este tipo de amenazas desde el plan Essential gracias a su motor de correlación genérico.

Este motor analiza patrones de comportamiento sospechosos en tu entorno —conexiones salientes inusuales, ejecución de procesos .NET fuera de contexto, accesos a recursos sensibles— sin depender exclusivamente de firmas conocidas, lo que resulta especialmente valioso frente a implantes en desarrollo activo como STOCKSTAY.

Protege tu organización antes de que los indicadores de compromiso queden obsoletos.

👉 Consulta nuestros planes y solicita una demo


Fuente: The Hacker News – Google Details Turla's New STOCKSTAY Backdoor Used in Ukraine Espionage Attacks