Turla развивает StockStay: российская группа годами шпионила за Украиной через новый вредоносный инструментарий

Российская государственная хакерская группа Turla использовала и развивала малозаметный вредоносный инструмент StockStay для кибершпионажа против Украины и целей в Европе. Об этом пишет The Record со ссылкой на исследование Google, опубликованное 26 июня. По данным исследователей, StockStay находится в активной разработке как минимум с декабря 2022 года.

Основными целями были украинские государственные и оборонные организации. При этом ранние образцы malware также находили в Италии, Нидерландах, Польше и Германии. Turla, известная также как Secret Blizzard и Venomous Bear, относится к самым давним российским кибершпионским группам; западные правительства и исследователи связывают её с ФСБ России.

Google отмечает, что StockStay имеет значительное сходство по коду и функциям с Kazuar — другим фреймворком Turla, который ранее применялся в операциях против военных и оборонных целей в Украине. По оценке исследователей, StockStay был намеренно разработан «по образцу» Kazuar. Такой подход указывает на стратегию резервных и параллельных экосистем вредоносного ПО: если один инструмент обнаружен и удалён, другой может сохранить доступ к целевой сети.

Эволюция StockStay также показывает, как операторы адаптируют приманки и маскировку. Первые версии выдавали себя за приложение для фондового рынка. Позднее вредоносное ПО маскировалось под легитимные программы, включая PDF-ридеры и калькуляторы. Первичное заражение, по данным Google, часто происходило через фишинговые письма с вредоносными конфигурационными файлами Remote Desktop Protocol. Такие файлы подключали компьютер жертвы к инфраструктуре злоумышленников, после чего те могли разворачивать дополнительные инструменты.

Тематика фишинга была подобрана под целевые организации. В одной кампании злоумышленники рассылали письма с компрометированного аккаунта украинского университета. В другой — злоупотребляли дипломатической образовательной платформой для распространения вредоносных писем и файлов. Google охарактеризовала Turla как «активную и продолжающую действовать угрозу».

Для защитников главный вывод — не только в очередном названии malware. StockStay показывает устойчивость долгосрочных операций: APT-группы могут годами развивать инструменты с похожей архитектурой, менять легенды и каналы доставки, но сохранять общую цель — доступ к государственным, оборонным и дипломатическим коммуникациям.

Источник: The Record, 26 июня 2026