Grupo russo Turla utiliza backdoor STOCKSTAY em ataques cibernéticos

BR Defense Center (By River de Morais e Silva)
malware

O grupo de ameaças patrocinado pelo Estado russo, conhecido como Turla, foi associado a um novo backdoor .NET chamado STOCKSTAY, que tem como alvo organizações governamentais e militares na Ucrânia, além de entidades ligadas à política externa italiana. O STOCKSTAY é um malware multifuncional que se comunica com seu servidor de comando e controle (C2) por meio de uma conexão WebSocket segura. O Google Threat Intelligence Group (GTIG) identificou que o STOCKSTAY compartilha semelhanças significativas com o Kazuar, um implante utilizado pelo grupo desde 2017. O malware é projetado para se disfarçar como ferramentas comuns, como visualizadores de PDF e utilitários de calculadora, e é composto por vários módulos que permitem a coleta de informações e a execução de comandos no sistema comprometido. As campanhas de distribuição do STOCKSTAY frequentemente utilizam iscas relacionadas a temas acadêmicos ou diplomáticos, visando organizações na Ucrânia e em outros países europeus. O GTIG observou que o STOCKSTAY foi utilizado em ataques que empregaram e-mails de phishing com arquivos maliciosos, explorando vulnerabilidades conhecidas, como a do WinRAR. A arquitetura do malware sugere que ele pode ter sido desenvolvido por uma equipe com experiência em operações cibernéticas, levantando preocupações sobre a segurança de sistemas críticos em várias nações.

Fonte: https://thehackernews.com/2026/06/google-details-turlas-new-stockstay.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
26/06/2026 • Risco: ALTO
MALWARE

Grupo russo Turla utiliza backdoor STOCKSTAY em ataques cibernéticos

RESUMO EXECUTIVO
O STOCKSTAY representa uma ameaça significativa, com capacidades de coleta de informações e execução de comandos em sistemas comprometidos. A utilização de phishing e exploração de vulnerabilidades conhecidas destaca a necessidade de vigilância constante e medidas de mitigação em ambientes corporativos e governamentais.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras e danos à reputação devido a vazamentos de dados.
Operacional
Comprometimento de sistemas e coleta de informações sensíveis.
Setores vulneráveis
['Governo', 'Defesa', 'Tecnologia']

📊 INDICADORES CHAVE

O STOCKSTAY foi utilizado em ataques a entidades na Ucrânia e Europa. Indicador
Exploração da vulnerabilidade CVE-2025-8088 em campanhas de phishing. Contexto BR
O malware foi desenvolvido a partir de dezembro de 2022. Urgência

⚡ AÇÕES IMEDIATAS

1 Revisar logs de acesso e e-mails suspeitos em busca de atividades de phishing.
2 Implementar filtros de segurança para e-mails e monitorar conexões WebSocket não autorizadas.
3 Monitorar continuamente a rede em busca de atividades anômalas e sinais de comprometimento.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação das ameaças cibernéticas, especialmente aquelas que visam setores críticos.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD e proteção de dados sensíveis.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).