Эксперты Cyble и Seqrite Labs обнаружили шпионскую кампанию, нацеленную на оборонный сектор в России и Беларуси. Активность получила название Operation SkyCloak. Злоумышленники разворачивают в сетях жертв бэкдор, использующий OpenSSH и скрытые сервисы Tor с обфускацией трафика через obfs4, чтобы обеспечить себе долгосрочный контроль над зараженными машинами.

Атаки начинаются с фишинговых писем, содержащих документы-приманки, связанные с военной тематикой. Получателей писем побуждают открыть ZIP-архив, внутри которого находится скрытая папка со вторым архивом и Windows-ярлыком (LNK). Открытие ярлыка запускает многоэтапную цепочку заражения.

Так, LNK-файл запускает PowerShell-команды, представляющие собой первую стадию дроппера. Эти команды используют дополнительный архив для развертывания полной дальнейшей цепочки заражения. По данным исследователей, такие архивы были загружены на VirusTotal в октябре 2025 года из Беларуси.

Одним из ключевых компонентов является PowerShell-стейджер, который проверяет, не работает ли он в песочнице и прописывает onion-адрес (yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd[.]onion) в файл hostname в C:UsersAppDataoaminglogicproocketExecutingLoggingIncrementalCompiler.

Отмечается, что вредонос использует ряд проверок окружения для уклонения от анализа. В частности, он проверяет, что в системе присутствует не менее 10 недавних LNK-файлов, а количество запущенных процессов превышает или равно 50. Если хотя бы одно условие не выполнено, PowerShell немедленно прекращает работу.

После прохождения проверок скрипт показывает жертве PDF-приманку из папки logicpro, одновременно с этим закрепляясь в системе через запланированную задачу githubdesktopMaintenance. Задача запускается автоматически после входа пользователя в систему и выполняется ежедневно в 10:21.

Эта задача logicpro/githubdesktop.exe — переименованный легитимный sshd.exe. Это позволяет злоумышленникам установить SSH-сервис с ограниченным доступом, используя предустановленные криптографические ключи, хранящиеся в папке logicpro. Помимо SSH, малварь также имеет возможности для передачи файлов через SFTP.

Также малварь создают вторую запланированную задачу, которая выполняет logicpro/pinterest.exe — кастомизированный бинарник Tor, создающий скрытый сервис для коммуникации с .onion-адресом атакующих. Трафик обфусцируется с помощью obfs4, что затрудняет обнаружение активности.

Кроме того, малварь осуществляет переадресацию портов для Windows-сервисов RDP, SSH и SMB. Это дает злоумышленникам доступ к системным ресурсам через Tor с полным сохранением анонимности.

После установления соединения малварь собирает информацию о системе и генерирует уникальный .onion-URL hostname для идентификации скомпрометированной машины. Затем собранные данные отправляются на управляющий сервер хакеров с помощью curl.

Получив .onion URL жертвы, злоумышленники получают полные возможности для удаленного доступа к системе через SSH, RDP, SFTP и SMB (все с помощью Tor).

Отчет специалистов гласит, что точная атрибуция этих атак невозможна, однако предполагается, что вредоносная активность исходит из Восточной Европы. В Cyble отмечают, что эти атаки могут быть связаны с операциями группировки UAC-0125.

По мнению экспертов, таргетирование оборонного и государственного секторов России и Беларуси, использование документов военной тематики в качестве приманок, а также продвинутые техники обфускации свидетельствуют о том, что за этой кибершпионской кампанией могут стоять некие «правительственные» хакеры.