Forschende von Cyble und Seqrite Labs haben mit Operation SkyCloak eine zielgerichtete Spionagekampagne offengelegt, die sich gegen Verteidigungs- und Regierungsorganisationen in Russland und Belarus richtet. Die Angreifer kombinieren eine OpenSSH-Backdoor mit Tor-Hidden-Services und obfs4-Verschleierung, um dauerhaft und schwer erkennbar Zugriff zu behalten. Die Taktik nutzt legitime Werkzeuge, verschleierte Netzwerkpfade und robuste Persistenzmechanismen – ein Muster, das sich in modernen APT-Operationen zunehmend etabliert.
Angriffskette: Phishing, LNK-Shortcuts und mehrstufige PowerShell-Stager
Die Infektion beginnt mit Phishing-E-Mails, die militärische Dokumente als Köder verwenden. Nutzer erhalten ein ZIP-Archiv, das wiederum einen weiteren ZIP-Container und eine Windows-LNK-Verknüpfung enthält. Beim Öffnen der LNK startet ein mehrstufiger PowerShell-Dropper, der die Nutzlasten nachlädt und installiert. Laut Telemetrie tauchten zugehörige Archive im Oktober 2025 auf VirusTotal mit Uploads aus Belarus – ein Indikator für aktive Verteilung in der Region.
Antianalyse: Plausible Arbeitsumgebung als Tarnung
Der zentrale PowerShell-Stager beendet sich, wenn die Umgebung unplausibel wirkt – etwa bei weniger als 10 zuletzt verwendeten LNK-Dateien oder unter 50 laufenden Prozessen. Solche Profile sind typisch für Sandboxes und Test-VMs, nicht für produktive Workstations. Nach bestandenen Checks schreibt der Stager den .onion-Endpunkt der Operatoren in eine Datei unter C:\Users\<Username>\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler, zeigt ein glaubwürdiges PDF-Köderdokument an und legt die geplante Aufgabe githubdesktopMaintenance an (Trigger: bei Anmeldung und täglich um 10:21 Uhr).
Persistenter Zugriff: OpenSSH-Backdoor, Tor-Hidden-Service und obfs4
Die Aufgabe startet logicpro/githubdesktop.exe – einen umbenannten legitimen sshd.exe. Dadurch etablieren die Angreifer einen vollwertigen SSH-Dienst mit vorab platzierten Schlüsseln in der logicpro-Struktur und erhalten interaktiven Zugriff sowie SFTP-Dateiübertragung. Eine zweite Aufgabe lädt logicpro/pinterest.exe, einen modifizierten Tor-Binary, der einen Hidden Service aufsetzt und die Command-and-Control-Kommunikation über .onion abwickelt. Durch obfs4-Brücken wird der Verkehr verschleiert, was Deep-Packet-Inspection und netzwerkbasierte Erkennung signifikant erschwert.
Zusätzlich wird Portweiterleitung für RDP, SSH und SMB konfiguriert. So können Operatoren Systeme fernsteuern, Dateien austauschen und Seitenbewegungen vornehmen – alles über Tor getunnelt. Nach Aufbau der Verbindung sammelt die Malware Host-Metadaten, generiert einen eindeutigen .onion-Hostname zur Identifikation und sendet Informationen via curl an die Infrastruktur der Angreifer. Damit steht ein dauerhafter, anonymisierter Mehrkanalzugriff zur Verfügung.
Einordnung, MITRE-Mapping und wahrscheinliche Herkunft
Eine finale Attribution bleibt offen; Hinweise deuten auf Osteuropa und eine mögliche Nähe zu UAC-0125. Die Techniken sind konsistent mit MITRE ATT&CK: T1566.001 (Phishing über Anhänge), T1204 (User Execution), T1059.001 (PowerShell), T1053.005 (Scheduled Task), T1021.004 (Remote Services: SSH), T1090 (Proxy/Tunneling) und T1041 (Exfiltration über C2). Dass obfs4 genutzt wird – ein gängiger Mechanismus zur Umgehung der Erkennung von Tor-Traffic – unterstreicht den Fokus auf Tarnung und Resilienz. Kontextuell passt dies zu Branchentrends: Laut Verizon DBIR 2024 ist die menschliche Komponente in der Initialzugriffsphase weiterhin dominierend, während C2-Infrastrukturen zunehmend auf anonymisierende Netzwerke ausweichen.
Empfehlungen: Detektion, Härtung und Response beschleunigen
E-Mail- und Anhangsfilter: Mehrstufige Prüfung für ZIP/LNK, Dokumentensandboxes sowie strikte Richtlinien zur Skriptausführung (z. B. nur signierte Skripte). CISA und Microsoft empfehlen zudem AMSI-Integration und umfassendes PowerShell-Logging.
PowerShell- und LNK-Kontrollen: Constrained Language Mode aktivieren, Anomalien in LNK-Argumenten überwachen und Prozessbaselines pflegen, um Stager-Verhalten (Prozessanzahl, LNK-Historie) zu erkennen.
Autostart- und Task-Audits: Neue oder ungewöhnlich benannte Aufgaben wie githubdesktopMaintenance prüfen; unbekannte Binärdateien in Benutzerprofilen (logicpro, pinterest.exe) sind Red Flags.
Netzwerk- und Tor-Erkennung: Ausgehende Verbindungen zu Tor-Brücken und Hidden-Services per Verhaltenserkennung monitoren; obfs4 über heuristische und zeitsensitive Muster identifizieren; unnötige Protokolle (RDP/SMB) segmentieren und einschränken.
SSH- und Schlüsselinventar: Nicht autorisierte sshd-Instanzen und Vorkonfigurationen von Schlüsseln aufspüren; Host- und Konto-Härtung gemäß CIS Benchmarks umsetzen.
Operation SkyCloak zeigt, wie effektiv legitime Tools und verschleierte C2-Kanäle kombiniert werden können. Organisationen in kritischen Sektoren sollten Bedrohungsmodelle aktualisieren, Tor/obfs4-Monitoring etablieren und ihre Reaktionszeiten über Threat Hunting und Playbooks verkürzen. Jetzt ist der richtige Zeitpunkt, E-Mail-Gateways zu härten, PowerShell-Kontrollen zu verschärfen und Netzwerke auf anomale Hidden-Services zu prüfen.
