Команда Google Threat Intelligence Group виявила новий .NET-бекдор під назвою STOCKSTAY. За розробкою стоїть російське державне угруповання Turla, яке атакує військові та урядові структури України. Програма обмінюється даними із сервером через захищені веб-сокети, а її архітектура повторює структуру відомого інструменту Kazuar. Зловмисники маскують STOCKSTAY під калькулятори, фінансові програми та переглядачі PDF-документів для прихованого закріплення в мережах.

Шкідлива програма складається з окремих модулів для крадіжки файлів, створення скріншотів, зміни реєстру Windows та запуску сторонніх процесів. Хакери поширюють вірус через фішингові електронні листи із файлами віддаленого доступу RDP або RAR-архівами. Під час атак наприкінці 2025 року фіксувалося використання вразливості WinRAR CVE-2025-8088. Отримані дані з однієї жертви група використовує для побудови списку цілей наступних кібератак.