أداة تجسس جديدة في ترسانة Turla
رصدت مجموعة غوغل لاستخبارات التهديدات (GTIG) باباً خلفياً لم يُوثَّق من قبل يحمل اسم STOCKSTAY، ونسبته إلى مجموعة Turla المرتبطة بالاستخبارات الروسية. يستهدف هذا البرنامج الخبيث بصورة رئيسية جهات حكومية وعسكرية في أوكرانيا، فضلاً عن كيانات تربطها مصالح بالسياسة الخارجية الإيطالية.
يعمل STOCKSTAY على أنظمة Windows ومكتوب بالكامل بلغة .NET مستعيناً بإطار عمل Windows Forms، ويتواصل مع خوادم التحكم والسيطرة (C2) عبر اتصال WebSocket مشفّر يعتمد على مكتبة المصدر المفتوح websocket-sharp. وتشير الأدلة إلى أن التطوير بدأ في ديسمبر 2022، وأن المجموعة لا تزال تواصل تحسينه.
بنية معقدة متعددة المكوّنات
يتألف STOCKSTAY من عدة وحدات متخصصة يتولى تنسيقها مكوّن تنزيل أوّلي يُعرف بـ STOCKSTAY.MARKETMAKER، الذي يُثبّت ثلاثة مكوّنات رئيسية:
- **STOCKSTAY.STOCKBROKER**: نفق شبكي يدعم الوكلاء (Proxy) ويُنشئ اتصال WebSocket مع الخادم البعيد لتمرير الاتصالات عبر باقي المكوّنات.
- **STOCKSTAY.STOCKTRADER**: الباب الخلفي الرئيسي المسؤول عن جمع المعلومات من الجهاز المخترق، ويدعم أوامر متنوعة من بينها: حذف الملفات وإدراجها، والتقاط لقطات الشاشة، وتحميل الملفات ورفعها، وقراءة سجل Windows وتعديله، وتشغيل العمليات، وجمع معلومات النظام.
- **STOCKSTAY.STOCKMARKET**: المنسّق المركزي الذي يقرأ إعدادات البرنامج الخبيث ويحدد خادم WebSocket والفترات الزمنية للتشغيل، بما فيها الأيام المستثناة من العمل تفادياً للرصد.
ولاحظ باحثو غوغل أن البرنامج صُمِّم في الأصل ليتظاهر بأنه أداة لمراقبة بيانات الأسواق المالية، قبل أن يُعاد تكييفه لمحاكاة برامج شائعة كعارضات ملفات PDF وآلات الحاسبة.
بنية تحتية تعتمد GitHub ومواقع WordPress المخترقة
رصد الباحثون مستودعاً عاماً على GitHub يحمل اسم «ChikenFresh/google-ai-labs-it» يتضمن تطبيقاً بلغة Python لخادم WebSocket المواجه للضحايا، مهمته استقبال الرسائل الواردة من الأجهزة المخترقة وتسجيل عناوين IP الخاصة بها. وأوضحت GTIG أن عجز الخادم عن فكّ تشفير الرسائل الواردة يُصعّب على مشغّلي المنصات مراقبة البنية التحتية للمهاجمين، في نهج يشبه إلى حد ما بنية قنوات التحكم متعددة القفزات (Multi-hop C2) التي تستخدمها أداة Kazuar.
أساليب الإيصال والاستغلال
اعتمدت الحملات الموزِّعة لـ STOCKSTAY على إغراءات ذات طابع أكاديمي أو دبلوماسي لاستهداف جهات أوكرانية، فيما استُخدمت نسخ مبكرة لاستهداف كيانات في إيطاليا وهولندا وبولندا وألمانيا.
في مطلع 2025، وثّقت GTIG هجوماً استُخدم فيه بريد إلكتروني تصيّدي يحتوي على ملف RDP خبيث، يُنشئ عند فتحه اتصالاً بين جهاز الضحية والبنية التحتية للمهاجمين لنشر حمولات إضافية من بينها STOCKSTAY.
وفي نوفمبر 2025، رُصدت موجة تصيّد موجّهة نحو أوكرانيا تُوزّع البرنامج الخبيث عبر أرشيفات RAR تستغل ثغرة CVE-2025-8088 في برنامج WinRAR، وهي ذات الثغرة التي وظّفتها مجموعات روسية أخرى كـ Sandworm وGamaredon وRomCom. كما استُعين في حملات موازية بمثبّتات MSI وملفات RAR تحتوي على سكريبتات HTA، يقوم أحدها بتنزيل أرشيف ZIP مضغوط يستضيفه موقع WordPress مخترق.
صلة وثيقة بـ Kazuar وتكتيكات مزدوجة الأغراض
يرى باحثو غوغل أن STOCKSTAY طُوِّر على غرار Kazuar، إذ تبرز تشابهات واضحة في مبدأ توزيع الأدوار بين المكوّنات، وكلاهما يعتمد بكثافة على تطوير .NET ويستعين بمواقع WordPress مخترقة في مراحل مختلفة من العمليات. وهذا ما يطرح احتمال أن يكون المطوّران يعملان في الفريق ذاته أو يتشاركان قاعدة كود مشتركة، وإن وصف الباحثون هذا التقييم بالثقة المنخفضة.
والأبرز أن Turla استخدمت STOCKSTAY في مرحلتين متمايزتين: أداةً لاكتساب الوصول الأولي إلى بيئات لم تُخترق بعد، وأداةً لما بعد الاختراق في مراحل لاحقة من العمليات داخل الشبكات الأوكرانية بعد الاعتماد على Kazuar في المرحلة الأولى. ويُرجّح الباحثون أن هذا التوظيف المزدوج يعكس رغبة Turla في اختبار قدرات جديدة في عمليات نشطة، لا سيما حين تتوقع المجموعة أن وصولها القائم سيُكتشف ويُعالَج قريباً.
توصيات
- مراقبة أي اتصالات WebSocket غير مبررة صادرة من الأجهزة نحو خوادم خارجية غير معروفة.
- تطبيق تصحيح ثغرة WinRAR CVE-2025-8088 فوراً على جميع الأنظمة.
- التشديد على التوعية بهجمات التصيّد الاحتيالي (Phishing) المعتمدة على مرفقات RDP وRAR.
- مراجعة قواعد الكشف الخاصة بـ Kazuar وتوسيعها لتشمل مؤشرات STOCKSTAY نظراً للتداخل البنيوي بين الأداتين.
