Turla

Grupo russo Turla utiliza backdoor STOCKSTAY em ataques cibernéticos

O grupo de ameaças patrocinado pelo Estado russo, conhecido como Turla, foi associado a um novo backdoor .NET chamado STOCKSTAY, que tem como alvo organizações governamentais e militares na Ucrânia, além de entidades ligadas à política externa italiana. O STOCKSTAY é um malware multifuncional que se comunica com seu servidor de comando e controle (C2) por meio de uma conexão WebSocket segura. O Google Threat Intelligence Group (GTIG) identificou que o STOCKSTAY compartilha semelhanças significativas com o Kazuar, um implante utilizado pelo grupo desde 2017. O malware é projetado para se disfarçar como ferramentas comuns, como visualizadores de PDF e utilitários de calculadora, e é composto por vários módulos que permitem a coleta de informações e a execução de comandos no sistema comprometido. As campanhas de distribuição do STOCKSTAY frequentemente utilizam iscas relacionadas a temas acadêmicos ou diplomáticos, visando organizações na Ucrânia e em outros países europeus. O GTIG observou que o STOCKSTAY foi utilizado em ataques que empregaram e-mails de phishing com arquivos maliciosos, explorando vulnerabilidades conhecidas, como a do WinRAR. A arquitetura do malware sugere que ele pode ter sido desenvolvido por uma equipe com experiência em operações cibernéticas, levantando preocupações sobre a segurança de sistemas críticos em várias nações.

Grupo de hackers russo transforma backdoor Kazuar em botnet modular

O grupo de hackers russo Turla, vinculado ao serviço de segurança FSB, atualizou seu backdoor Kazuar, transformando-o em uma botnet modular e peer-to-peer (P2P) projetada para acesso furtivo e persistente a sistemas comprometidos. Essa evolução, conforme relatado pela Microsoft, visa garantir acesso de longo prazo para coleta de inteligência, especialmente em setores governamentais e de defesa na Europa e na Ásia Central.

O Kazuar agora possui uma arquitetura modular composta por três tipos de módulos: o Kernel, que coordena as atividades da botnet; o Bridge, que atua como um proxy entre o Kernel e o servidor de comando e controle (C2); e o Worker, responsável por coletar dados e executar tarefas. Essa estrutura modular permite uma configuração flexível e reduz a visibilidade das operações, aumentando a eficácia do malware.

Grupos de hackers russos Gamaredon e Turla colaboram em ataques à Ucrânia

Pesquisadores de cibersegurança da ESET identificaram uma colaboração entre os grupos de hackers russos Gamaredon e Turla, ambos associados ao Serviço Federal de Segurança da Rússia (FSB), visando entidades ucranianas. Em fevereiro de 2025, ferramentas do Gamaredon, como PteroGraphin e PteroOdd, foram utilizadas para executar o backdoor Kazuar do grupo Turla em sistemas na Ucrânia. O Kazuar, um malware frequentemente atualizado, é conhecido por sua capacidade de espionagem e coleta de dados. A ESET observou que o PteroGraphin foi usado para reiniciar o Kazuar após falhas, indicando uma estratégia de recuperação. Além disso, em abril e junho de 2025, foram detectadas implantações do Kazuar v2 através de outras ferramentas do Gamaredon. A invasão da Ucrânia pela Rússia em 2022 parece ter intensificado essa colaboração, com foco em setores de defesa. Os ataques têm como alvo informações sensíveis, utilizando técnicas como spear-phishing e arquivos LNK maliciosos. A ESET alerta que a combinação de ferramentas e a troca de informações entre os grupos aumentam o risco para as entidades ucranianas, e a situação requer atenção contínua.