Los actores de amenazas están aprovechando los archivos adjuntos armados distribuidos a través de correos electrónicos de phishing para entregar malware que probablemente esté dirigido al sector de defensa en Rusia y Bielorrusia.
Según múltiples informes de Cyble y Seqrite Labs, la campaña está diseñada para implementar una puerta trasera persistente en hosts comprometidos que utiliza OpenSSH conexo con un servicio oculto Tor personalizado que emplea obfs4 para ofuscar el tráfico.
La actividad ha sido nombrada en código. Operación SkyCloak por Seqrite, afirmando que los correos electrónicos de phishing utilizan señuelos relacionados con documentos militares para convencer a los destinatarios de que abran un archivo ZIP que contiene una carpeta oculta con un segundo archivo, conexo con un archivo de ataque directo de Windows (LNK), que, cuando se abre, desencadena la condena de infección de varios pasos.
«Activan comandos de PowerShell que actúan como la etapa auténtico donde se utiliza otro archivo encima del LNK para configurar toda la condena», dijeron los investigadores de seguridad Sathwik Ram Prakki y Kartikkumar Jivani, agregando que los archivos se cargaron desde Bielorrusia a la plataforma VirusTotal en octubre de 2025.
Uno de esos módulos intermedios es un stager de PowerShell que es responsable de ejecutar comprobaciones antianálisis para sortear entornos sandbox, así como de escribir una dirección cebolla Tor («yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd(.)onion» en un archivo llamado «nombre de host» en «C:Users».
Como parte de sus controles de estudio, el malware confirma que la cantidad de archivos LNK recientes presentes en el sistema es longevo o igual a 10 y verifica que el recuento de procesos presente excede o igual a 50. Si no se cumple alguna de las condiciones, PowerShell detiene abruptamente la ejecución.
«Estas comprobaciones sirven como mecanismos de concientización ambiental, ya que los entornos sandbox generalmente exhiben menos atajos generados por el adjudicatario y una actividad de proceso escasa en comparación con las estaciones de trabajo de usuarios genuinos», dijo Cyble.
Una vez que se cumplen estas comprobaciones ambientales, el script procede a mostrar un documento señuelo PDF almacenado en la carpeta «logicpro» ayer mencionada, mientras configura la persistencia en la máquina usando una tarea programada bajo el nombre «githubdesktopMaintenance» que se ejecuta automáticamente posteriormente de que el adjudicatario inicia sesión y se ejecuta a intervalos regulares todos los días a las 10:21 am UTC.
La tarea programada está diseñada para iniciar «logicpro/githubdesktop.exe», que no es más que una traducción renombrada de «sshd.exe», un ejecutable permitido asociado con OpenSSH para Windows», que permite al actor de amenazas establecer un servicio SSH que restringe las comunicaciones a claves autorizadas previamente implementadas y almacenadas en la misma carpeta «logicpro».
Adicionalmente de habilitar capacidades de transferencia de archivos usando SFTP, el malware todavía crea una segunda tarea programada que está configurada para ejecutar «logicpro/pinterest.exe», un binario Tor personalizado usado para crear un servicio oculto que se comunica con la dirección .onion del atacante ofuscando el tráfico de red usando obfs4. Adicionalmente, implementa el reenvío de puertos para múltiples servicios críticos de Windows como RDP, SSH y SMB para simplificar el ataque a los posibles del sistema a través de la red Tor.
Una vez que la conexión se establece exitosamente, el malware extrae información del sistema, encima de un nombre de host URL .onion único que identifica el sistema comprometido mediante un comando curl. En última instancia, el actor de la amenaza obtiene capacidades de ataque remoto al sistema comprometido al tomar la URL .onion de la víctima a través del canal de comando y control.
Si correctamente actualmente no está claro quién está detrás de la campaña, uno y otro proveedores de seguridad dijeron que es consistente con la actividad de espionaje vinculada a Europa del Este y dirigida a los sectores de defensa y gobierno. Cyble ha evaluado con confianza media que el ataque comparte superposiciones tácticas con una campaña aludido montada por un actor de amenazas rastreado por CERT-UA bajo el apodo de UAC-0125.
«Los atacantes acceden a SSH, RDP, SFTP y SMB a través de servicios Tor ocultos, lo que permite un control total del sistema y preserva el anonimato», añadió la empresa. «Todas las comunicaciones se dirigen a través de direcciones anónimas utilizando claves criptográficas preinstaladas.»
