GTIG beschreibt StockStay als mehrkomponentige Backdoor auf .NET-Basis. Für die Kommando-und-Kontroll-Kommunikation nutzt sie eine abgesicherte WebSocket-Verbindung über die Open-Source-Bibliothek websocket-sharp. Die einzelnen Komponenten kommunizieren untereinander über einen Interprozess-Kommunikationskanal.

Die Nutzlasten werden von einem entfernten Server über einen Proxy-fähigen Downloader namens StockStay.MarketMaker nachgeladen. Dieser läuft im Hintergrund und richtet Autostart-Einträge ein, um die Kernkomponenten der Backdoor auszuführen. Für die Netzwerkkommunikation ist StockStay.StockBroker zuständig, ein ebenfalls Proxy-fähiger Tunneler. Die Konfigurierbarkeit übernimmt laut GTIG der Orchestrator StockStay.StockMarket; eine verschlüsselte Konfigurationsdatei auf dem Datenträger enthält verschiedene Optionen zur Ausführung der Malware.

Die eigentliche Backdoor-Komponente trägt den Namen StockStay.StockTrader. Sie unterstützt laut Bericht eine Reihe von Befehlen, darunter das Herunterladen, Ausschleusen und Verändern von Dateien, die Manipulation von Ordnern, Bildschirmaufnahmen, Aufgabenverarbeitung, Änderungen an der Registrierungsdatenbank, das Ausführen von Prozessen sowie das Sammeln von Systeminformationen.

Der Großteil der beobachteten StockStay-Aktivitäten richtete sich GTIG zufolge gegen staatliche und militärische Stellen in der Ukraine. Das entspreche den russischen Interessen in der Region. Für die Verteilung der Malware sei auch kompromittierte Infrastruktur innerhalb des Landes genutzt worden, darunter staatliche Dienste.

Frühe StockStay-Aktivitäten trafen laut GTIG jedoch auch europäische Organisationen in Italien, den Niederlanden, Polen und Deutschland, darunter ein Außenministerium. Für die meisten dieser Infektionen sei das eigentliche Ziel allerdings nicht bestätigt.

Bei den Kampagnen setzt Turla nach Beobachtung von GTIG auf Themen aus Wissenschaft und Diplomatie. Genannt werden Phishing-Mails, die von einem kompromittierten E-Mail-Konto einer ukrainischen Universität sowie von einer kompromittierten diplomatischen Bildungsplattform verschickt wurden. Hinzu kommen Dateinamen mit Bezügen zu akademischen Einrichtungen, Phishing-Domains mit Bestandteilen wie „education“ und „diplo“ sowie MSI-Dateien der Backdoor mit dem Namen „DiplomacyEduAI“.

Außerdem beobachtete GTIG, dass Turla die Backdoor über schädliche RDP-Konfigurationsdateien verteilte, die per Phishing-Mail zugestellt wurden. Ein Teil dieser Dateien lag auf einer kompromittierten Bildungsplattform mit diplomatischem Bezug. Nach Einschätzung von GTIG setzte die Gruppe StockStay in unterschiedlichen Phasen ihrer Angriffe ein: für den Erstzugang, zur Aufklärung oder in späteren Stadien, wahrscheinlich über bereits vorhandenen Zugriff auf die Umgebung des Opfers.

In einem Angriff im November 2025 verschickte Turla an 20 Ziele in der Ukraine Phishing-Mails mit einem Link auf ein bösartiges RAR-Archiv, das CVE-2025-8088 zur Ausführung von StockStay ausnutzte. Bereits im Januar hatte GTIG gewarnt, dass mehrere russische APT-Gruppen und Cybercrime-Gruppen die WinRAR-Schwachstelle ins Visier nehmen.