Nach Darstellung von GTIG handelt es sich bei STOCKSTAY um eine mehrteilige Backdoor für Windows, geschrieben in .NET mit dem Windows-Forms-Framework. Die Kommunikation mit der Command-and-Control-Infrastruktur läuft über eine abgesicherte WebSocket-Verbindung unter Verwendung der Open-Source-Bibliothek websocket-sharp. Die einzelnen Komponenten tauschen sich über einen Interprozess-Kommunikationskanal auf Basis von WM_COPYDATA-Nachrichten aus.

Laut Google war das Implantat ursprünglich darauf ausgelegt, ein Werkzeug zur Anzeige von Börsendaten nachzuahmen. Später wurde es so angepasst, dass es sich als andere harmlose Programme tarnt, darunter PDF-Betrachter und Rechnerprogramme. Den Einstieg bildet eine Downloader-Komponente mit dem Codenamen STOCKSTAY.MARKETMAKER, die drei weitere Module installiert und ausführt.

Google entdeckte außerdem ein öffentlich erreichbares GitHub-Repository mit dem Namen „ChikenFresh/google-ai-labs-it“. Dieses enthielt laut GTIG eine Python-Implementierung des WebSocket-Server-Controllers von STOCKSTAY, der eingehende Nachrichten verbundener Clients verarbeitet und deren IP-Adresse protokolliert. Dass der Server eingehende Nachrichten nicht entschlüsseln kann, erschwere laut Google eine Einsichtnahme durch Plattformbetreiber und verschleiere zusätzlich den Standort der dedizierten Infrastruktur der Angreifer. GTIG sieht darin eine gewisse Ähnlichkeit zu Turlas mehrstufiger Kazuar-Command-and-Control-Infrastruktur.

Bei der Verbreitung von STOCKSTAY setzte Turla nach Angaben von Google durchgängig auf akademische oder diplomatische Köder. Diese Kampagnen richteten sich gegen Regierungs- und Militärorganisationen in der Ukraine. Frühere Versionen der Backdoor wurden außerdem bei Angriffen auf Einrichtungen in Italien, den Niederlanden, Polen und Deutschland eingesetzt. Welche europäischen Organisationen dort konkret betroffen waren, ist laut Bericht nicht bekannt.

In mindestens einem von Google zu Beginn des Jahres 2025 beobachteten Fall verschickte Turla eine Phishing-Mail mit einem schädlichen RDP-Dateianhang. Nach dem Öffnen stellte dieser eine Verbindung zwischen dem Gerät des Opfers und einer von den Angreifern kontrollierten Infrastruktur her, über die zusätzliche Nutzlasten einschließlich STOCKSTAY nachgeladen werden konnten.

Noch im November 2025 wurde laut Bericht eine Phishing-Welle gegen Ziele in der Ukraine beobachtet, die das Implantat über RAR-Archive auslieferte. Diese nutzten CVE-2025-8088 aus, eine WinRAR-Schwachstelle, die auch von anderen russischen Gruppen wie Sandworm, Gamaredon und RomCom ausgenutzt worden sei. Weitere Kampagnen verwendeten MSI-Installer, in einem Fall auf GitHub gehostet, sowie RAR-Dateien mit einem HTML-Application-Skript. Dieses sollte eine Variante von STOCKSTAY.MARKETMAKER starten. Der Downloader lud anschließend ein ZIP-Archiv mit den zentralen STOCKSTAY-Komponenten von einer kompromittierten WordPress-Instanz nach.

Besonders hervor hebt Google, dass Turla STOCKSTAY in mehreren klar getrennten Phasen seiner Operationen einsetzt. Einerseits dient die Malware dem Erstzugang in bislang nicht profilierte Umgebungen. Andererseits wurde sie nach einer Aufklärungsphase gezielt auf einem bestimmten Host ausgeführt. Diese Konfiguration deute darauf hin, dass die Angreifer zu diesem Zeitpunkt genau wussten, welche Maschine sie anvisierten, wahrscheinlich auf Grundlage bestehender Zugänge in die Zielumgebung. In ukrainischen Netzwerken beobachtete GTIG STOCKSTAY demnach gegen Ende einer Operation, die zuvor stark auf andere Turla-Werkzeuge wie Kazuar gesetzt hatte.

Die Überschneidungen mit Kazuar zeigen sich laut Google vor allem in der Aufgabentrennung zwischen den Komponenten. Microsoft Threat Intelligence hatte den Einsatz von Kernel-, Bridge- und Worker-Modulen in Kazuar im vergangenen Monat ausführlich beschrieben. Die Aufteilung in rollenbasierte Komponenten bei STOCKSTAY wurde laut Google erstmals in einer Probe erkannt, die im Dezember 2023 aus den Niederlanden bei VirusTotal hochgeladen wurde. Diese Gemeinsamkeiten legen nach Einschätzung von GTIG die Möglichkeit nahe, dass STOCKSTAY und Kazuar zumindest teilweise vom selben Entwickler oder Team entwickelt und gepflegt wurden. Mit geringer Sicherheit bewertet Google zudem die Beobachtung, dass STOCKSTAY parallel zu Kazuar in laufenden Operationen eingesetzt wurde, als möglichen Versuch Turlas, neue Fähigkeiten unter realen Einsatzbedingungen zu erproben.