STOCKSTAY, la nuova backdoor di Turla che guarda anche alla politica estera italiana
Google Threat Intelligence Group (GTIG) ha pubblicato l’analisi di STOCKSTAY, una backdoor modulare in .NET sviluppata dal gruppo russo Turla almeno dal dicembre 2022 e impiegata in operazioni dal 2023 per attività di spionaggio contro organizzazioni governative e militari in Ucraina. Il dettaglio che rende la ricerca rilevante per il pubblico italiano è esplicito nel rapporto: tra gli obiettivi figurano anche entità interessate alla politica estera italiana, con campioni di sviluppo individuati in Italia e lure in lingua italiana a tema elettorale e affari esteri.
Turla è uno degli attori di cyber espionage più longevi e meglio profilati. Opera, secondo l’analisi GTIG, sotto diverse etichette assegnate dai vendor: SUMMIT per Google, Secret Blizzard per Microsoft, Venomous Bear per CrowdStrike, UAC-0194 per il CERT-UA. La sua infrastruttura storica, l’impianto Snake, è stata attribuita da CISA al Centro 16 dell’FSB, il servizio di sicurezza federale russo. Qui non si parla quindi di ransomware né di estorsione, ma di raccolta informativa di lungo periodo al servizio di un’agenzia statale, una qualifica che cambia il profilo di rischio e il perimetro dei potenziali bersagli.
Un impianto modulare costruito per restare nascosto
STOCKSTAY non è un singolo eseguibile, ma un ecosistema di componenti che dialogano tra loro tramite messaggi
WM_COPYDATA
sul canale di inter-process communication di Windows. L’orchestratore (STOCKMARKET, internamente
cor
) gestisce configurazione e tasking; un tunnel di rete proxy-aware (STOCKBROKER, internamente
net
) isola tutto il traffico di comando e controllo dal resto dell’attività sull’host; un terzo modulo esegue i comandi ricevuti. A monte agisce un downloader, MARKETMAKER, che scarica i componenti, stabilisce persistenza tramite chiavi di registro e si maschera da
MicrosoftUpdateOneDrive
per apparire legittimo.
La comunicazione con il server avviene su WebSocket sicuro, appoggiandosi alla libreria open source
websocket-sharp
. Al primo avvio l’impianto genera una coppia di chiavi RSA a 4096 bit e un identificativo univoco di infezione, cifrando i dati in uscita prima dell’invio. Il file di configurazione si traveste da applicazione legittima per il monitoraggio dei mercati delle criptovalute, con descrizioni fasulle dei campi e URL di copertura, mentre i dati reali restano cifrati nei campi decoy.
GTIG ha inoltre individuato su GitHub un controller server-side in Python (basato su tornado) che gestisce l’interfaccia
/ws
, spesso ospitato su piattaforme di hosting di terze parti come Render: l’impossibilità per il gestore della piattaforma di decifrare i messaggi in transito offusca la posizione dell’infrastruttura dedicata, un’architettura che ricorda quella multi-hop di KAZUAR.
Le funzioni offerte all’operatore sono quelle classiche dell’accesso remoto: enumerazione e prelievo di file per estensione (con archiviazione ZIP in memoria e base64 per l’esfiltrazione), cattura schermo, scrittura ed eliminazione di file e directory, esecuzione di comandi multipli. Nelle fasi avanzate, dopo la ricognizione, l’impianto viene configurato con environmental keying: gira solo su uno specifico host, utente o dominio, segno che a quel punto l’attaccante sa esattamente quale macchina sta colpendo, tipicamente grazie ad accessi già stabiliti con altri strumenti del gruppo come KAZUAR.
La sovrapposizione con KAZUAR e il nodo dei nomi cluster
GTIG colloca STOCKSTAY dentro l’arsenale di Turla evidenziando sovrapposizioni di codice e funzionali con KAZUAR, il toolkit analizzato da Microsoft a maggio: introdotto in STOCKSTAY ad aprile 2025, l’obfuscator K1MORPHER è stato poi osservato dal giugno 2025 anche nei campioni di KAZUAR, e GTIG legge l’evoluzione di STOCKSTAY come una tendenza a mimare le tecniche di offuscamento multi-classe di KAZUAR.
La stessa architettura a componenti separati per comunicazione, orchestrazione ed esecuzione richiama lo schema BRIDGE, KERNEL e WORKER già documentato in KAZUAR. Su queste basi GTIG valuta con confidenza moderata che STOCKSTAY e KAZUAR possano condividere, almeno in parte, lo stesso sviluppatore o team, con STOCKSTAY costruito a immagine di KAZUAR; l’attribuzione complessiva a Turla resta invece a confidenza alta.
È un buon promemoria operativo sul fronte attribuzione: i nomi dei cluster vanno sempre incrociati tra vendor, perché la stessa famiglia compare con etichette diverse, e ricostruire la genealogia di un toolkit incide direttamente sulle conseguenze, anche giuridiche, di un’attribuzione pubblica, come discusso nell’analisi sull’attribuzione degli attacchi cyber.
Le esche raccontano molto delle priorità del gruppo: ricorrono temi accademici e diplomatici, dai nomi di istituti universitari nei file RDP malevoli alla compromissione di una piattaforma di formazione a tema diplomatico, fino al product name
DiplomacyEduAI
usato all’interno dei file MSI di installazione.
Perché interessa l’Italia
L’angolo italiano va riportato con la stessa cautela usata da GTIG. Campioni di sviluppo di STOCKSTAY sono stati identificati in Italia, Paesi Bassi, Polonia e Germania, anche se per la maggior parte delle infezioni precoci non è stato possibile confermare le vittime designate. Il caso più circostanziato risale al febbraio 2024: un file
Copia.msi
, caricato su VirusTotal dall’Italia e mascherato da applicazione ILSpy, installava i componenti di STOCKSTAY e abilitava la persistenza via chiavi di registro. L’esca collegata richiamava il tema delle elezioni e l’organizzazione Circolo Degli Esteri, sodalizio legato al Ministero degli Affari Esteri e nato, secondo il sito ufficiale, per rappresentarlo.
Su questo punto il rapporto è netto e va riferito senza forzature: GTIG non valuta che l’attore stesse prendendo di mira le elezioni italiane, bensì che usasse esche a tema elettorale e diplomatico per colpire individui e organizzazioni italofone con interesse per gli affari esteri. La distinzione conta, perché trasforma la notizia da allarme su una presunta interferenza elettorale in ciò che davvero documenta: l’attenzione costante di un attore statale russo verso chi, in Italia, ruota attorno alla diplomazia e alla politica estera.
Cosa cambia per i difensori
Per chi opera nella pubblica amministrazione, nella difesa o in enti e organizzazioni con un mandato sugli affari internazionali, STOCKSTAY conferma alcune costanti su cui calibrare detection e threat hunting: persistenza via registro abbinata a un downloader che si finge aggiornamento Microsoft, traffico di comando e controllo incapsulato in WebSocket cifrati e instradabili via proxy aziendale, staging su piattaforme di hosting legittime per nascondere l’infrastruttura reale.
L’impiego di environmental keying nelle fasi finali indica inoltre che, quando l’impianto compare, l’avversario è già dentro: la finestra utile per intercettarlo si gioca a monte, sulle esche a tema accademico e diplomatico e sui file RDP recapitati via phishing. Il quadro si somma alla pressione di altri attori statali, come lo spionaggio cinese parallelo documentato negli stessi giorni, e ridisegna la superficie di rischio per l’intero comparto pubblico.
