Una campagna Turla segnalata indica un implant Windows modulare che può passare attraverso distribuzione tramite esche di phishing, file di accesso remoto e traffico web cifrato.
Una backdoor .NET legata a traffico di comando WebSocket furtivo e a una chiave basata sull'ambiente mostra come il malware moderno possa nascondersi nel comportamento ordinario delle applicazioni.
Ricerche sulle minacce collegate a Google hanno individuato StockStay come una nuova linea di malware nelle operazioni di Turla, sottolineando come le campagne di spionaggio mirate continuino a ricostruire i propri percorsi di accesso invece di affidarsi a un singolo impianto.
Un implant .NET appena identificato mostra come gli strumenti di spionaggio possano prendere in prestito l'aspetto e il comportamento delle normali app desktop, mantenendo in vita in modo discreto le attività remote.
Una backdoor attribuita a Turla e rivolta a obiettivi governativi e militari ucraini mostra come i kit di intrusione di stampo statale facciano ormai affidamento su design modulare, traffico simile a quello web e comportamento specifico dell'host.