Ricerche sulle minacce collegate a Google hanno individuato StockStay come una nuova linea di malware nelle operazioni di Turla, sottolineando come le campagne di spionaggio mirate continuino a ricostruire i propri percorsi di accesso invece di affidarsi a un singolo impianto.
Un implant .NET appena identificato mostra come gli strumenti di spionaggio possano prendere in prestito l'aspetto e il comportamento delle normali app desktop, mantenendo in vita in modo discreto le attività remote.