Le operazioni di cyber spionaggio riconducibili ai gruppi russi Turla e Gamaredon mostrano nel 2025 un’evoluzione significativa sia dal punto di vista tecnico sia sotto il profilo operativo. Turla, storica minaccia attribuita ai servizi d’intelligence russi, ha introdotto il nuovo backdoor modulare STOCKSTAY, una piattaforma avanzata sviluppata in .NET destinata principalmente alla raccolta di informazioni da obiettivi governativi e militari ucraini. Parallelamente Gamaredon, gruppo generalmente associato al FSB, ha ampliato il proprio arsenale con nuovi strumenti PowerShell, tecniche più sofisticate per occultare l’infrastruttura di comando e controllo e una maggiore integrazione di servizi cloud per l’esfiltrazione dei dati. L’elemento più rilevante emerso nel corso dell’anno riguarda però la documentata collaborazione operativa tra i due gruppi, un’evoluzione che suggerisce un livello superiore di coordinamento tra diverse componenti dell’ecosistema APT russo impegnato nelle operazioni di intelligence contro l’Ucraina e, in misura minore, contro organizzazioni europee di interesse strategico.
Cosa leggere
STOCKSTAY rappresenta la nuova piattaforma di cyber spionaggio di Turla
Il nuovo malware STOCKSTAY costituisce una delle evoluzioni più importanti osservate nell’arsenale di Turla negli ultimi anni. Sebbene il backdoor sia stato individuato pubblicamente soltanto nel 2025, le analisi indicano uno sviluppo iniziato almeno dalla fine del 2022.
La piattaforma è realizzata in .NET utilizzando il framework Windows Forms e presenta una struttura modulare molto simile a quella del noto toolkit Kazuar, impiegato dal gruppo fin dal 2017. La comunicazione con l’infrastruttura di comando e controllo avviene tramite connessioni WebSocket cifrate implementate attraverso la libreria open source websocket-sharp, mentre i diversi moduli comunicano internamente utilizzando messaggi WM_COPYDATA, una tecnica che consente ai processi Windows di scambiarsi dati senza esporre direttamente le informazioni in memoria condivisa. L’architettura evidenzia un’elevata maturità progettuale e conferma la volontà di Turla di separare le diverse funzioni del malware in componenti indipendenti, facilitando aggiornamenti, manutenzione e sostituzione dei singoli moduli durante le campagne di spionaggio.
L’architettura modulare richiama direttamente Kazuar
L’infezione prende avvio attraverso il downloader denominato STOCKSTAY.MARKETMAKER, incaricato di installare tre componenti principali che svolgono funzioni distinte all’interno dell’operazione. STOCKSTAY.STOCKBROKER gestisce tutte le comunicazioni di rete agendo come tunneler compatibile con proxy aziendali, STOCKSTAY.STOCKTRADER rappresenta il vero backdoor responsabile della raccolta delle informazioni dal sistema compromesso, mentre STOCKSTAY.STOCKMARKET coordina la configurazione generale e l’interazione tra gli altri moduli. Inizialmente il malware veniva mascherato come software dedicato alla consultazione dei mercati finanziari, ma le versioni più recenti simulano applicazioni apparentemente innocue come visualizzatori PDF o semplici calcolatrici Windows. Una volta eseguito, il backdoor è in grado di effettuare raccolta di informazioni sul sistema, gestione di file e directory, acquisizione di screenshot, modifica del registro di Windows, esecuzione di nuovi processi e controllo remoto completo della macchina compromessa. Le analogie con Kazuar, comprese le tecniche di offuscamento come K1MORPHER, suggeriscono fortemente che entrambi gli strumenti provengano dallo stesso team di sviluppo.
Le campagne Turla colpiscono Ucraina ed enti europei
Le operazioni che utilizzano STOCKSTAY risultano concentrate soprattutto contro organizzazioni governative e militari ucraine, ma le analisi hanno individuato anche campagne rivolte a soggetti europei coinvolti in attività diplomatiche e di politica estera. Tra i Paesi interessati figurano Italia, Polonia, Germania e Paesi Bassi, confermando la tradizionale attenzione di Turla verso enti pubblici, ministeri, organizzazioni internazionali e strutture istituzionali. Il gruppo distribuisce il malware principalmente attraverso campagne di phishing contenenti allegati RDP malevoli oppure archivi RAR che sfruttano la vulnerabilità CVE-2025-8088 di WinRAR. In altre operazioni vengono utilizzati pacchetti MSI, file RAR con script HTA e downloader che recuperano successivamente archivi ZIP ospitati su siti WordPress compromessi.
Le evidenze indicano che STOCKSTAY non viene impiegato esclusivamente per ottenere l’accesso iniziale, ma anche come piattaforma installata in una fase successiva dell’intrusione, suggerendo che gli operatori abbiano già identificato e selezionato accuratamente i sistemi bersaglio prima della distribuzione del malware.
Gamaredon amplia le operazioni offensive nel 2025
Parallelamente alle attività di Turla, Gamaredon ha mantenuto un ritmo operativo particolarmente elevato nel corso del 2025, concentrando le proprie campagne quasi esclusivamente contro enti governativi, militari e amministrativi ucraini. Secondo le analisi disponibili, il gruppo ha condotto almeno 35 campagne di spear phishing, molte delle quali caratterizzate da dimensioni superiori rispetto agli anni precedenti. L’organizzazione ha sviluppato sei nuovi strumenti PowerShell e ha riportato in attività il vecchio weaponizer VBScript denominato PteroSetup, adattandolo alle nuove esigenze operative. Tra i componenti introdotti spicca PteroPaste, uno strumento multifunzione che combina downloader, orchestratore e diffusione tramite dispositivi USB, mentre moduli come PteroDee, PteroCache, PteroDum, PteroOdd e PteroEffigy sono dedicati principalmente al delivery dei payload e all’automazione della compromissione iniziale. L’approccio di Gamaredon continua a privilegiare strumenti relativamente semplici ma facilmente modificabili, consentendo al gruppo di aggiornare rapidamente le proprie campagne e adattarsi alle contromisure implementate dai difensori.
Nuovi file stealer sfruttano servizi cloud legittimi
Tra le novità più rilevanti figura anche l’evoluzione dei file stealer PteroVDoor e PteroPSDoor, che supportano ora l’esfiltrazione dei dati verso piattaforme cloud legittime come Wasabi, Tebi e Intercolo. L’utilizzo di questi servizi permette agli attaccanti di nascondere meglio il traffico malevolo all’interno di connessioni normalmente autorizzate dalle organizzazioni, rendendo più complessa l’individuazione delle attività di furto dati.
L’abuso di infrastrutture cloud pubbliche rappresenta ormai una tendenza consolidata tra i gruppi APT, poiché consente di sfruttare provider affidabili senza dover mantenere direttamente server facilmente identificabili e sequestrabili. Per Gamaredon questa evoluzione costituisce un passo importante verso infrastrutture più resilienti e meno esposte alle attività di contrasto condotte dai ricercatori di sicurezza e dalle forze dell’ordine.
Tunnel, dead drop e PaaS rendono invisibile l’infrastruttura
Uno degli aspetti più significativi dell’evoluzione di Gamaredon riguarda il massiccio investimento nell’occultamento dell’infrastruttura di comando e controllo. Durante il 2025 il gruppo ha incrementato l’utilizzo di tunnel services, piattaforme PaaS, servizi DDNS e serverless worker per nascondere l’effettiva posizione dei server che gestiscono le operazioni. Queste tecnologie consentono di esporre servizi Internet senza rivelare direttamente gli indirizzi IP dei sistemi controllati dagli attaccanti, complicando notevolmente le attività di blocco e attribuzione. Parallelamente il gruppo ha abusato di servizi legittimi di messaggistica, piattaforme di blogging, social network e siti di paste come dead drop resolver, utilizzati per pubblicare gli indirizzi aggiornati dei server C2 o distribuire nuovi payload. Questo approccio riduce drasticamente la necessità di mantenere infrastrutture permanenti facilmente individuabili e permette agli operatori di modificare rapidamente gli endpoint di comando in caso di rilevamento.
CVE-2025-8088 diventa una componente comune delle campagne
Sia Turla sia Gamaredon hanno integrato nelle proprie campagne lo sfruttamento della vulnerabilità CVE-2025-8088 di WinRAR, confermando quanto rapidamente gli attori APT incorporino vulnerabilità pubblicamente note all’interno delle operazioni di cyber spionaggio. Nel caso di Gamaredon, dalla fine di settembre 2025 il bug viene sfruttato per inserire automaticamente downloader HTA nella cartella di avvio del sistema, ottenendo persistenza senza richiedere ulteriori interazioni da parte della vittima. Turla utilizza invece la stessa vulnerabilità soprattutto durante la fase iniziale della compromissione attraverso archivi RAR distribuiti nelle campagne di phishing. L’adozione condivisa della stessa vulnerabilità dimostra come le campagne di spionaggio russe sfruttino rapidamente nuove opportunità tecniche per aumentare il tasso di successo delle infezioni, privilegiando strumenti già conosciuti dagli utenti e normalmente considerati affidabili.
Due strategie differenti ma un obiettivo comune
Pur condividendo lo stesso obiettivo strategico, Turla e Gamaredon adottano approcci tecnici profondamente differenti. Turla continua a investire nello sviluppo di piattaforme malware altamente sofisticate, modulari e progettate per operazioni di lunga durata, mentre Gamaredon privilegia una grande quantità di strumenti relativamente semplici, facilmente aggiornabili e distribuiti attraverso campagne di phishing molto frequenti. Entrambi i gruppi fanno ampio ricorso a servizi legittimi per occultare comunicazioni, infrastrutture e trasferimenti di dati, rendendo più difficile distinguere il traffico malevolo dalle normali attività Internet. La documentata collaborazione operativa emersa nel 2025 rappresenta però la novità più significativa, perché suggerisce un livello crescente di coordinamento tra differenti unità riconducibili all’ecosistema di intelligence russo. Per i difensori questo significa affrontare campagne sempre più integrate, nelle quali strumenti avanzati come STOCKSTAY possono convivere con infrastrutture distribuite e tecniche di delivery più agili sviluppate da Gamaredon, aumentando complessivamente la complessità delle operazioni di rilevamento e risposta agli incidenti.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
