Turla-Malware STOCKSTAY: Russische Hacker greifen Europa an
29.06.2026 - 16:27:35 | boerse-global.de
Das STOCKSTAY-Framework zielt auf Regierungs- und Militäreinrichtungen in ganz Europa ab – mit besonderem Fokus auf die Ukraine.
Cybersicherheitsforscher haben die Kampagne analysiert und warnen vor einer neuen Dimension staatlich gesteuerter Spionage. Die Gruppe, die dem russischen Inlandsgeheimdienst FSB zugerechnet wird, setzt dabei auf ein modulares .NET-basiertes System, das sich nur schwer entdecken lässt.
Die technische Architektur von STOCKSTAY
Das Framework besteht aus drei Kernkomponenten. STOCKMARKET fungiert als zentrale Steuereinheit für die Konfiguration. STOCKBROKER übernimmt die Kommunikation mit den Command-and-Control-Servern (C2). STOCKTRADER schließlich sammelt die gestohlenen Daten ein.
Besonders tückisch: Die Malware nutzt die sogenannte K1MORPHER-Verschleierung und ähnelt strukturell dem KAZUAR-Backdoor, einem Werkzeug, das bereits früher russischen Staatsakteuren zugeordnet wurde. Zum Schutz vor Entdeckung setzen die Hacker auf eine 4096-Bit-RSA-Verschlüsselung und eine Umgebungsprüfung. Die Schadsoftware entschlüsselt sich nur dann, wenn sie die spezifischen Merkmale des Zielsystems erkennt – ein effektiver Schutz gegen Analysen in isolierten Testumgebungen.
Angesichts immer komplexerer Bedrohungslagen durch staatlich gesteuerte Hackerangriffe müssen Unternehmen ihre Verteidigungsstrategien grundlegend überdenken. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Cyberbedrohungen Unternehmer jetzt kennen müssen, um sich wirksam zu schützen. Jetzt Cyber-Security Report kostenlos herunterladen
So dringen die Hacker in die Systeme ein
Der erste Zugriff erfolgt meist über gezielte Spear-Phishing-Angriffe. Die Angreifer verschicken manipulierte Remote-Desktop-Protokoll-Dateien (RDP) oder RAR-Archive, die eine kritische Sicherheitslücke ausnutzen – bekannt als CVE-2025-8088.
Ist ein System erst einmal kompromittiert, sichern sich die Hacker den dauerhaften Zugriff über geplante Aufgaben und WMI-Ereignisabonnements (Windows Management Instrumentation). Für die Steuerungsinfrastruktur nutzt Turla legitime Cloud-Plattformen wie GitHub und Render. Die Kommunikation läuft über verschlüsselte WebSockets, die sich im normalen Netzwerkverkehr tarnen.
Wer ist betroffen?
Obwohl das STOCKSTAY-Framework bereits seit Dezember 2022 aktiv ist, zeigt die aktuelle Analyse eine deutliche Intensivierung der Angriffe auf ukrainische Regierungs- und Militäreinrichtungen. Darüber hinaus sind betroffen:
- Italienische Außenpolitik-Institutionen
- Organisationen in den Niederlanden
- Einrichtungen in Polen
- Ziele in Deutschland
Da Phishing-Angriffe nach wie vor das Einfallstor Nummer eins für komplexe Malware wie STOCKSTAY sind, ist die Sensibilisierung der Mitarbeiter entscheidend. Das kostenlose Anti-Phishing-Paket zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen effektiv gegen psychologische Manipulationstaktiken und Hackerangriffe absichern. Kostenloses Anti-Phishing-Paket jetzt sichern
Die Kampagne ist Teil einer breiteren Offensive russischer Cyberoperationen. Erst in den vergangenen Tagen hatte die US-Regierung eine Kopfprämie von zehn Millionen Euro auf Informationen ausgesetzt, die zur Identifizierung russischer Staatshacker führen. Betroffen sind unter anderem die Gruppen UNC5792 und UNC4221, die Militär- und Regierungsangehörige über verschlüsselte Messenger wie Signal und WhatsApp ins Visier nehmen. In diesen Fällen fordern die Angreifer inzwischen direkt die Backup-Wiederherstellungsschlüssel, um sich unbefugten Zugriff auf private Kommunikation zu verschaffen.
