Los actores de amenazas están aprovechando los archivos adjuntos armados distribuidos a través de correos electrónicos de phishing para entregar malware que probablemente se dirija al sector de defensa en Rusia y Bielorrusia.
Según múltiples informes de Cyble y Seqrite Labs, la campaña está diseñada para implementar una puerta trasera persistente en hosts comprometidos que usa OpenSSH junto con un servicio oculto de Tor personalizado que emplea obfs4 para la ofuscación del tráfico.
La actividad ha sido nombrada Operación SkyCloak por Seqrite, indicando que los correos electrónicos de phishing utilizan señuelos relacionados con documentos militares para convencer a los destinatarios de que abran un archivo ZIP que contiene una carpeta oculta con un segundo archivo de almacenamiento, junto con un archivo de acceso directo de Windows (LNK), que, cuando se abre, desencadena la cadena de infección de varios pasos.
«Activan comandos de PowerShell que actúan como la etapa inicial del cuentagotas donde se usa otro archivo de almacenamiento además del LNK para configurar toda la cadena», dijeron los investigadores de seguridad Sathwik Ram Prakki y Kartikkumar Jivani, y agregaron que los archivos de almacenamiento se cargaron desde Bielorrusia a la plataforma VirusTotal en octubre de 2025.
Uno de esos módulos intermedios es un stager de PowerShell que es responsable de ejecutar comprobaciones anti-análisis para evadir entornos sandbox, así como de escribir una dirección cebolla de Tor («yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd[.]onion» a un archivo denominado «hostname» en la ubicación «C:\Users\<Username>\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\».
Como parte de sus comprobaciones de análisis, el malware confirma que el número de archivos LNK recientes presentes en el sistema es mayor o igual a 10 y verifica que el recuento de procesos actual supere o sea igual a 50. Si no se cumple alguna de las condiciones, PowerShell cesa abruptamente la ejecución.
«Estas comprobaciones sirven como mecanismos de conciencia ambiental, ya que los entornos de sandbox generalmente exhiben menos atajos generados por el usuario y una actividad de proceso reducida en comparación con las estaciones de trabajo de usuario genuinas», dijo Cyble.
Una vez que se satisfacen estas comprobaciones ambientales, el script procede a mostrar un documento señuelo PDF almacenado en la carpeta «logicpro» antes mencionada, mientras configura la persistencia en la máquina mediante una tarea programada con el nombre «githubdesktopMaintenance» que se ejecuta automáticamente después del inicio de sesión del usuario y se ejecuta a intervalos regulares todos los días a las 10:21 a.m. UTC.
La tarea programada está diseñada para iniciar «logicpro/githubdesktop.exe», que no es más que una versión renombrada de «sshd.exe», un ejecutable legítimo asociado con OpenSSH para Windows», lo que permite al actor de amenazas establecer un servicio SSH que restringe las comunicaciones a las claves autorizadas previamente implementadas almacenadas en la misma carpeta «logicpro».
Además de habilitar las capacidades de transferencia de archivos usando SFTP, el malware también crea una segunda tarea programada que está configurada para ejecutar «logicpro / pinterest.exe», un binario Tor personalizado que se usa para crear un servicio oculto que se comunica con la dirección .onion del atacante ofuscando el tráfico de red usando obfs4. Además, implementa el reenvío de puertos para múltiples servicios críticos de Windows como RDP, SSH y SMB para facilitar el acceso a los recursos del sistema a través de la red Tor.
Una vez que la conexión se establece con éxito, el malware filtra información del sistema, además de un nombre de host de URL .onion único que identifica el sistema comprometido mediante un comando curl. El actor de amenazas finalmente obtiene capacidades de acceso remoto al sistema comprometido al recibir la URL .onion de la víctima a través del canal de comando y control.
Si bien actualmente no está claro quién está detrás de la campaña, ambos proveedores de seguridad dijeron que es consistente con la actividad de espionaje vinculada a Europa del Este dirigida a los sectores de defensa y gobierno. Cyble ha evaluado con confianza media que el ataque comparte superposiciones tácticas con una campaña anterior montada por un actor de amenazas rastreado por CERT-UA bajo el apodo UAC-0125.
«Los atacantes acceden a SSH, RDP, SFTP y SMB a través de servicios Tor ocultos, lo que permite un control total del sistema y preserva el anonimato», agregó la compañía. «Todas las comunicaciones se dirigen a través de direcciones anónimas utilizando claves criptográficas preinstaladas».
Fuente: The Hacker News


