كشفت غوغل عن برمجية STOCKSTAY الجديدة المستخدمة في هجمات تجسس استهدفت جهات حكومية وعسكرية في أوكرانيا، مع مؤشرات على امتداد النشاط إلى مؤسسات أوروبية تهتم بالسياسة الخارجية الإيطالية.
ما هي برمجية STOCKSTAY التي كشفتها غوغل؟
تقول غوغل إن STOCKSTAY باب خلفي متقدم مبني على منصة .NET، ويبدو أنه قيد التطوير المستمر منذ أواخر 2022. اللافت أن الشيفرة تحمل تشابهاً واضحاً مع Kazuar، وهي أداة معروفة ارتبطت سابقاً بمجموعة Turla.
يعني ذلك أن المهاجمين لم يطلقوا أداة عشوائية، بل طوروا منصة تجسس مرنة يمكن تعديلها وتغيير واجهتها بسرعة لتناسب أهدافاً مختلفة وتفادي الرصد الأمني.
كيف يعمل الباب الخلفي تقنياً؟
- مكتوب باستخدام .NET وواجهة Windows Forms.
- يتصل بخوادم التحكم عبر WebSocket آمن.
- يعتمد على مكتبة websocket-sharp مفتوحة المصدر.
- يتكون من عدة مكونات تتواصل عبر رسائل WM_COPYDATA داخل النظام.
كيف أخفت Turla برمجية STOCKSTAY داخل برامج تبدو آمنة؟
التحقيق أظهر أن البرمجية صُممت في البداية لتبدو كأداة لمتابعة بيانات سوق الأسهم، ثم جرى تعديلها لاحقاً لتتنكر في هيئة تطبيقات غير مثيرة للشك مثل قارئات PDF أو الآلة الحاسبة.
هذه الحيلة تمنح المهاجمين فرصة أفضل لإقناع الضحية بتشغيل الملف، خصوصاً داخل بيئات العمل التي تعتمد على تبادل مستندات يومي. ووفقاً لمتابعة تيكبامين، فإن هذا النوع من التنكر يظل من أكثر أساليب التجسس فعالية عند استهداف المؤسسات الرسمية.
ما هي مراحل الإصابة؟
- ملف تنزيل أولي يحمل الاسم الرمزي STOCKSTAY.MARKETMAKER.
- تثبيت وتشغيل 3 وحدات إضافية بعد الاختراق.
- تحميل مكونات تنفيذ الأوامر وجمع المعلومات من الجهاز المصاب.
- تمرير البيانات إلى بنية تحكم أكثر تعقيداً لإخفاء البنية التحتية الحقيقية.
من هي الجهات المستهدفة في هجمات STOCKSTAY؟
التركيز الأساسي كان على مؤسسات حكومية وعسكرية داخل أوكرانيا، لكن النسخ المبكرة من الهجمات ارتبطت أيضاً بأهداف في إيطاليا وهولندا وبولندا وألمانيا. وحتى الآن لا توجد قائمة علنية كاملة بالجهات الأوروبية التي طالتها العمليات.
المحتوى المستخدم في الإغراءات اعتمد على مواضيع أكاديمية ودبلوماسية، وهو أسلوب شائع في حملات التجسس لأنه ينسجم مع طبيعة الملفات المتداولة داخل الوزارات والهيئات الحساسة.
- أهداف رئيسية: الحكومة والجيش في أوكرانيا.
- أهداف محتملة: جهات أوروبية مهتمة بالسياسة الخارجية الإيطالية.
- أسلوب الاستدراج: رسائل تبدو رسمية أو بحثية.
كيف نُشرت برمجية STOCKSTAY في 2025؟
في واحدة من الحالات المرصودة خلال أوائل 2025، استخدم المهاجمون رسالة تصيد تحتوي على ملف RDP خبيث. وعند فتحه، ينشئ الملف قناة اتصال بين جهاز الضحية وبنية تحتية يسيطر عليها المهاجم، ثم تبدأ عملية تنزيل الحمولات الإضافية وبينها برمجية STOCKSTAY.
كما رصد الباحثون مستودع GitHub عاماً يضم أداة بلغة Python للتعامل مع خادم WebSocket المخصص للضحايا، بما يسمح بتسجيل الرسائل الواردة وعناوين IP. هذا التصميم يزيد صعوبة تتبع الخوادم الفعلية ويضيف طبقة تمويه إضافية تشبه أساليب Turla السابقة.
لماذا تمثل STOCKSTAY تهديداً خطيراً الآن؟
خطورة STOCKSTAY لا تكمن فقط في قدرتها على التخفي، بل في بنيتها متعددة المكونات وسهولة تعديلها لتناسب سيناريوهات تجسس مختلفة. كما أن استمرار ظهورها حتى أواخر 2025 يوحي بأن الحملة لم تكن مؤقتة بل جزءاً من نشاط طويل الأمد.
بالنسبة للمؤسسات، الرسالة واضحة: تشديد الحماية على ملفات RDP، ومراقبة اتصالات WebSocket، ومراجعة الملفات التي تبدو عادية لكنها تحمل سلوكاً غير معتاد. وتؤكد تيكبامين أن برمجية STOCKSTAY ستكون من الأسماء التي يجب مراقبتها بقوة خلال الفترة المقبلة.
