Новий бекдор РФ атакує Україну: Google знайшла шпигунський вірус

У Google Threat Intelligence Group виявили новий шпигунський .NET-бекдор STOCKSTAY. Інструмент, який використовують російські урядові хакери Turla, розгорнуто проти військових і держустанов України, а також європейських дипломатичних відомств.

Про це інформує РБК-Україна з посиланням на свіжий звіт Google.

За інформацією експертів, STOCKSTAY є багатокомпонентним бекдором, написаним на платформі .NET із використанням фреймворку Windows Forms.

Для зв'язку із командним сервером (C2) програма застосовує захищене з'єднання WebSocket через відкриту бібліотеку websocket-sharp.

Взаємодія між модулями всередині зараженої системи відбувається через спеціальний канал міжпроцесного обміну даними (IPC) шляхом надсилання повідомлень типу WM_COPYDATA.

Інфраструктура шкідливого комплексу складається із завантажувача та трьох основних модулів:

STOCKSTAY.MARKETMAKER: первинний завантажувач, який розгортає та запускає всю іншу систему.

STOCKSTAY.STOCKBROKER: мережевий тунельник, що працює через проксі-сервери і встановлює стабільне шифроване з'єднання із сервером зловмисників.

STOCKSTAY.STOCKTRADER: головний функціональний бекдор, який відповідає за безпосередній збір конфіденційної інформації та виконання команд.

STOCKSTAY.STOCKMARKET: керівний "оркестратор", який аналізує конфігураційні файли, встановлює інтервали активності та дні, коли вірус має "спати", щоб уникнути виявлення.

Функціонал модуля STOCKTRADER дозволяє хакерам повністю контролювати пристрій:

• видаляти та створювати папки,
• зчитувати й перезаписувати реєстр Windows,
• робити знімки екрана,
• завантажувати сторонні файли,
• запускати будь-які нові процеси в операційній системі.

Огляд архітектури шкідливого ПЗ STOCKSTAY (схема: Google)

Кампанії з розповсюдження STOCKSTAY базуються на методах соціальної інженерії із використанням фішингових листів на академічну чи дипломатичну тематику.

На початку 2025 року хакери масово розсилали шкідливі файли конфігурації RDP, які під час відкриття з'єднували комп'ютер жертви з підконтрольною інфраструктурою ворога.

Вже у листопаді 2025 року було зафіксовано нову хвилю фішингу проти України - вірус доставлявся в архівах RAR через експлуатацію вразливості CVE-2025-8088.

Цю ж уразливість утиліти WinRAR активно використовували й інші російські спецслужби, зокрема групи Sandworm, Gamaredon та RomCom.

В інших випадках зловмисники використовували інсталятори MSI або зламані сайти на базі WordPress для розміщення ZIP-архівів із компонентами вірусу.

Аналітики Google виявили відкритий репозиторій на GitHub під назвою ChikenFresh/google-ai-labs-it, де зберігався керуючий серверний код STOCKSTAY, написаний мовою Python.

Важливо: сервер побудовано таким чином, що оператори захисних платформ не можуть дешифрувати вхідні повідомлення та відстежити точне розташування хакерських серверів.

Хронологія спостережень впровадження бекдору STOCKSTAY (схема: Google)

Схожість розподілу ролей між модулями STOCKSTAY та структурою Kazuar (яка складається з компонентів Kernel, Bridge та Worker) вказує на те, що обидва інструменти розроблялися однією командою програмістів.

У мережах українських відомств новий бекдор зазвичай розгортали на фінальних етапах операції, коли інфраструктура вже була детально розвідана за допомогою Kazuar.

Фахівці вважають, що випробування нового інструменту у реальних бойових умовах свідчить про намагання хакерів протестувати свіжі рішення на випадок, якщо їхні старі точки доступу будуть заблоковані українськими кіберфахівцями.

Ще більше цікавого:

• Мільйони постів у полі зору ШІ: Meta запускає нову функцію Facebook
• Росія хотіла обдурити ШІ: що розкрив "Проєкт 2026"