สรุปสั้น
กลุ่มภัยคุกคามที่เชื่อมโยงกับรัสเซียในชื่อ Turla ได้ขยายคลังเครื่องมือจารกรรมอย่างเงียบ ๆ ด้วยแบ็กดอร์ตัวใหม่ชื่อ STOCKSTAY ซึ่งพุ่งเป้าโจมตีหน่วยงานรัฐและองค์กรทางทหารในยูเครนมาตั้งแต่อย่างน้อยเดือนธันวาคม 2022 มัลแวร์ตัวนี้สร้างขึ้นด้วย .NET และสื่อสารกับผู้ควบคุมผ่านการเชื่อมต่อ WebSocket ที่ปลอดภัย ทำให้ตรวจจับได้ยากภายในทราฟฟิกเครือข่ายปกติ หลักฐานชี้ว่าเป็นแคมเปญที่จัดระเบียบอย่างดีและได้รับการสนับสนุนจากรัฐ เชื่อมโยงโดยตรงกับหน่วยข่าวกรองรัสเซีย เดิมที STOCKSTAY ถูกปลอมตัวเป็นเครื่องมือดูข้อมูลตลาดหุ้น พร้อมชื่อไฟล์และข้อมูลคอนฟิกปลอมเพื่อให้กลมกลืนกับซอฟต์แวร์ทั่วไป และพอถึงปี 2025 ก็พบเวอร์ชันใหม่ที่ปลอมตัวเป็นโปรแกรมดู PDF และเครื่องคิดเลข แสดงให้เห็นว่ากลุ่มนี้ปรับเปลี่ยนตัวเองอยู่ตลอด
นักวิเคราะห์จาก Google Threat Intelligence Group (GTIG) เป็นผู้ระบุและจัดทำเอกสารเกี่ยวกับมัลแวร์นี้ พร้อมรายละเอียดส่วนประกอบ ไทม์ไลน์ และความทับซ้อนกับชุดเครื่องมืออีกตัวของ Turla ที่ชื่อ KAZUAR โดย Turla ซึ่งถูกติดตามในชื่ออื่นด้วย เช่น SUMMIT, Secret Blizzard และ VENOMOUS BEAR ถูกระบุว่าเป็นของ Center 16 ของหน่วยงานความมั่นคงกลางรัสเซีย (FSB) และเคลื่อนไหวมาตั้งแต่อย่างน้อยปี 2004
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 29 มิถุนายน พ.ศ. 2569 ว่า กลุ่ม Turla ที่เชื่อมโยงกับรัสเซียได้นำแบ็กดอร์ตัวใหม่ STOCKSTAY มาใช้ในปฏิบัติการจารกรรมต่อหน่วยงานรัฐและทหารในยูเครน Turla มีประวัติพุ่งเป้าไปที่กระทรวงการต่างประเทศของชาติตะวันตก องค์กรด้านกลาโหม และหน่วยงานทหารยูเครนมาอย่างต่อเนื่อง สอดคล้องกับผลประโยชน์ของรัฐรัสเซีย และมัลแวร์ตัวนี้ถูกพบว่าถูกใช้ในหลายประเทศ ทั้งยูเครน อิตาลี เนเธอร์แลนด์ โปแลนด์ และเยอรมนี
ในยูเครน Turla ใช้โครงสร้างพื้นฐานที่ถูกยึดควบคุม รวมถึงบริการของหน่วยงานรัฐและเซิร์ฟเวอร์ของบริษัทไอที เพื่อ stage และส่งเพย์โหลด ซึ่งช่วยให้กลุ่มนี้กลมกลืนเข้ากับทราฟฟิกเครือข่ายภายในประเทศ ทำให้การตรวจจับยากขึ้นอย่างมาก หลังจากคลื่นฟิชชิงเมื่อเดือนพฤศจิกายน 2025 ที่พุ่งเป้าบุคคลในยูเครนราว 20 ราย GTIG ได้ยืนยันว่าผู้ใช้บัญชี Google ที่ได้รับผลกระทบได้รับการแจ้งเตือนผ่าน Government Backed Attack Warning โดยแคมเปญนั้นใช้ไฟล์ RAR ที่เป็นอันตรายซึ่งใช้ประโยชน์จากช่องโหว่ path traversal ใน WinRAR ที่ถูกติดตามในชื่อ CVE-2025-8088
GTIG ประเมินด้วยความเชื่อมั่นระดับปานกลางว่า STOCKSTAY และ KAZUAR น่าจะถูกพัฒนาโดยทีมเดียวกันที่ทำงานคู่ขนานกัน โดยทั้งสองตระกูลใช้สถาปัตยกรรมแบบหลายส่วนประกอบ การทำ environmental keying เพื่อปกป้องคอนฟิก และใช้เว็บไซต์ WordPress ที่ถูกยึดในระหว่างปฏิบัติการเหมือนกัน



วิธีการโจมตี
การใช้โครงสร้างพื้นฐานของยูเครนที่ถูกยึดถือเป็นหนึ่งในแง่มุมที่คำนวณมาอย่างดีที่สุดของปฏิบัติการนี้ กลุ่มนี้ stage เพย์โหลดไว้บนเว็บไซต์ของ State Regulatory Service of Ukraine และบนเซิร์ฟเวอร์ WordPress ที่โฮสต์อยู่ภายในประเทศ การใช้แหล่งภายในที่เชื่อถือได้เพื่อส่งมัลแวร์ช่วยให้หลบเลี่ยงการควบคุมที่จะตรวจจับโครงสร้างจากต่างประเทศ
การเข้าถึงครั้งแรกอาศัยฟิชชิงด้วยไฟล์ Remote Desktop Protocol (RDP) ที่เป็นอันตราย ในต้นปี 2025 เหยื่อได้รับอีเมลที่ปลอมเป็นสถาบันฝึกอบรมด้านกลาโหม เมื่อเปิดไฟล์แนบ RDP ก็จะเชื่อมต่อไปยังโครงสร้างที่ผู้โจมตีควบคุม จากนั้น Turla จะปล่อยตัวดาวน์โหลด STOCKSTAY.MARKETMAKER ซึ่งดึงชุด STOCKSTAY แบบเต็มจากเซิร์ฟเวอร์ที่ถูกยึด ส่วนคลื่นการโจมตีในกลางปี 2025 ใช้แพลตฟอร์มการศึกษาด้านการทูตที่ถูกยึดเพื่อล่อเหยื่อภายใต้ข้ออ้างการเข้าถึงพอร์ทัลฝึกอบรมออนไลน์
STOCKSTAY ทำงานผ่านสามส่วนประกอบที่ประสานกัน ได้แก่ STOCKMARKET ทำหน้าที่ควบคุมการทำงานโดยรวม, STOCKBROKER จัดการการสื่อสารเครือข่ายผ่าน WebSocket และ STOCKTRADER รันคำสั่งบนเครื่องที่ติดมัลแวร์ รวมถึงการเก็บไฟล์ การแก้ไข registry และการจับภาพหน้าจอ จุดที่แยบยลคือมัลแวร์จะทำงานเฉพาะวันธรรมดาในช่วงเวลา 9.00 ถึง 18.00 น. เท่านั้น โดยจงใจให้ตรงกับเวลาทำการเพื่อหลบเลี่ยงการตรวจจับ
ในด้านการปกปิดโค้ด เมื่อเดือนเมษายน 2025 STOCKSTAY ได้นำวิธี obfuscation ของ string แบบใหม่มาใช้ ซึ่งอิงกับอัลกอริทึม pseudo-random ชื่อ Squirrel3 ที่เดิมถูกนำเสนอในงานประชุมพัฒนาเกมเมื่อปี 2017 โดย GTIG ติดตามเทคนิคนี้ในชื่อ K1MORPHER และพอถึงเดือนมิถุนายน 2025 โค้ดเดียวกันก็ปรากฏในตัวอย่าง KAZUAR ตอกย้ำว่าทั้งสองตระกูลใช้สภาพแวดล้อมการพัฒนาเดียวกัน นอกจากนี้กลุ่มยังใช้บัญชี GitHub โฮสต์โค้ดฝั่งเซิร์ฟเวอร์ที่ควบคุม command-and-control ของ STOCKSTAY โดยเชื่อมต่อกับแพลตฟอร์มชื่อ Render สำหรับโฮสต์ WebSocket ซึ่งทำให้ผู้ปฏิบัติการตรวจสอบทราฟฟิกที่เข้ารหัสได้ยากและช่วยอำพรางโครงสร้างของกลุ่ม
ผลกระทบต่อไทย
แม้ STOCKSTAY จะมุ่งเป้าหน่วยงานรัฐและทหารในยูเครนและยุโรปเป็นหลัก แต่เทคนิคที่ Turla ใช้เป็นบทเรียนสำคัญสำหรับหน่วยงานรัฐและองค์กรโครงสร้างพื้นฐานสำคัญของไทย โดยเฉพาะการใช้โครงสร้างพื้นฐานที่ถูกยึด เช่น เว็บไซต์หน่วยงานรัฐและเซิร์ฟเวอร์ WordPress ภายในประเทศ มา stage มัลแวร์เพื่อให้ดูน่าเชื่อถือ ซึ่งเป็นเทคนิคที่ใช้ได้กับทุกประเทศที่มีเว็บภาครัฐและ CMS ที่ดูแลไม่ทั่วถึง
นอกจากนี้ การใช้ไฟล์ RDP ที่เป็นอันตรายเป็นช่องทางเข้าถึงครั้งแรก และการใช้ช่องโหว่ WinRAR CVE-2025-8088 ผ่านไฟล์ RAR ที่แนบมา ล้วนเป็นเทคนิคที่องค์กรไทยมีความเสี่ยงโดยตรง เนื่องจาก WinRAR เป็นโปรแกรมที่ใช้กันแพร่หลายมากในไทย และผู้ใช้จำนวนมากไม่ได้อัปเดตเป็นเวอร์ชันที่แก้ไขแล้ว
คำแนะนำ
ทีมความปลอดภัยควรตรวจสอบสภาพแวดล้อมของตนเองเทียบกับรายการ Indicators of Compromise (IoCs) ด้านล่าง อัปเดต WinRAR เป็นเวอร์ชันล่าสุดเพื่อปิดช่องโหว่ CVE-2025-8088 และระมัดระวังไฟล์แนบประเภท RDP, RAR, MSI และ HTA ที่มาจากอีเมลที่อ้างเป็นสถาบันฝึกอบรมหรือพอร์ทัลการศึกษา ควรบล็อกหรือจำกัดการเปิดไฟล์ RDP จากแหล่งภายนอกผ่านนโยบายกลุ่ม
เนื่องจาก STOCKSTAY สื่อสารผ่าน WebSocket ที่เข้ารหัสและทำงานเฉพาะเวลาทำการ องค์กรควรเฝ้าระวังการเชื่อมต่อ WebSocket ขาออกที่ผิดปกติไปยังโดเมนที่ไม่คุ้นเคย โดยเฉพาะปลายทางบนแพลตฟอร์มอย่าง Render หรือ Glitch รวมถึงตรวจสอบเว็บเซิร์ฟเวอร์ WordPress ขององค์กรว่าไม่ถูกใช้เป็นจุด stage มัลแวร์โดยไม่รู้ตัว
Indicators of Compromise (IoCs)
หมายเหตุ: IP address และโดเมนถูก defang โดยตั้งใจ (เช่น
[.]) เพื่อป้องกันการ resolve หรือสร้างลิงก์โดยไม่ตั้งใจ ให้ re-fang เฉพาะภายในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM
| ประเภท | Indicator | คำอธิบาย |
|---|---|---|
| URL (WebSocket C2) | wss://wool-basalt-clock.glitch[.]me/ws | STOCKSTAY WebSocket C2 (ปฏิบัติการยูเครน ม.ค. 2024) |
| URL (WebSocket C2) | wss://weatherdataai.theworkpc[.]com/ws | STOCKSTAY WebSocket C2 (ปฏิบัติการยูเครน เม.ย. 2025) |
| URL (WebSocket C2) | wss://canal1zac1a.onrender[.]com/ws | STOCKSTAY WebSocket C2 (ส.ค. 2025 / GitHub test MSIs) |
| URL (WebSocket C2) | wss://driverx86-adobe.onrender[.]com/ws | STOCKSTAY WebSocket C2 (คลื่นฟิชชิง พ.ย. 2025) |
| URL (WebSocket C2) | wss://google-ai-labs-it.onrender[.]com/ws | STOCKSTAY WebSocket C2 (พ.ย. 2025 / ChikenFresh GitHub) |
| URL (Download) | https://www.drs.gov [.]ua/wp-content/themes/twentytwentyfive/docs.zip | ZIP บรรจุส่วนประกอบ STOCKSTAY บนเว็บรัฐบาลยูเครนที่ถูกยึด |
| URL (Download) | https://basecon.com [.]ua/calculator.rar | RAR บรรจุส่วนประกอบ STOCKSTAY บนเซิร์ฟเวอร์ยูเครนที่ถูกยึด |
| URL (Download) | https://online.zp [.]ua/wp-content/uploads/Tools/EditorToolsPdf.zip | ZIP บรรจุส่วนประกอบ STOCKSTAY บนเซิร์ฟเวอร์ WordPress ที่ถูกยึด |
| URL (Decoy / Lure) | https://circoloesteri.elezioni.idnet [.]it/adelection/riepilogo.php | URL ล่อภาษาอิตาลีธีมเลือกตั้ง (ปฏิบัติการอิตาลี ก.พ. 2024) |
| File Hash (SHA-256) | d1e54270433a94a… | websocket-sharp.dll — ไลบรารีโอเพนซอร์สที่ผู้โจมตีคอมไพล์เองใช้โดย STOCKSTAY |
| File Hash (SHA-256) | f04f43b6f7c2d86… | server.py — ตัวควบคุม C2 STOCKSTAY ภาษา Python (ChikenFresh GitHub) |
| File Hash (SHA-256) | 7615140f78d9a0c… | models.py — นิยามตาราง database ของเซิร์ฟเวอร์ C2 STOCKSTAY |
| File Hash (SHA-256) | b55f3b8a7334af0… | wtools.py — ฟังก์ชันยูทิลิตีของเซิร์ฟเวอร์ C2 STOCKSTAY |
| File Name | MicrosoftUpdateOneDrive.exe | ตัวดาวน์โหลด STOCKSTAY.MARKETMAKER (ปฏิบัติการยูเครน เม.ย. 2025) |
| File Name | styles.dat.exe | ตัวดาวน์โหลด STOCKSTAY.MARKETMAKER (ปฏิบัติการยูเครน ส.ค. 2025) |
| File Name | Калькулятор грошового забезпечення військовослужбовців 2025.hta | ไฟล์ HTA ล่อภาษายูเครน (“เครื่องคิดเลขเงินเดือนทหาร 2025”) |
| File Name | DiplomacyEduAI.msi | ไฟล์ MSI บรรจุส่วนประกอบ STOCKSTAY (บัญชี GitHub ทดสอบ) |
| File Name | StockMarketView.exe / ViewPdf.exe | STOCKSTAY.STOCKMARKET orchestrator (หลายปฏิบัติการ) |
| File Name | StockMarketNet.exe / SMNet.exe / ClientMNGR.exe / MSDriver.exe | STOCKSTAY.STOCKBROKER tunneler (หลายปฏิบัติการ) |
| File Name | StockMarketSystem.exe / SMEditor.exe / ConverterDDSNet.exe / MSRender.exe | STOCKSTAY.STOCKTRADER backdoor (หลายปฏิบัติการ) |
| File Name | ms-lib-math-core.dll | โมดูล core ที่ใช้ร่วมกันของ STOCKSTAY (ปฏิบัติการ พ.ย. 2025) |
| GitHub Account | Roberto1983-ai | บัญชี GitHub ต้องสงสัยของผู้โจมตีที่โฮสต์ไฟล์ MSI ทดสอบ STOCKSTAY |
| GitHub Account | ChikenFresh | บัญชี GitHub ต้องสงสัยของผู้โจมตีที่โฮสต์โค้ดเซิร์ฟเวอร์ C2 STOCKSTAY |
