Investigadores de Cyble y Seqrite Labs han documentado Operation SkyCloak, una campaña de ciberespionaje dirigida a organismos gubernamentales y del sector defensa en Rusia y Bielorrusia. El rasgo distintivo es la persistencia sigilosa mediante un combo de backdoor de OpenSSH, servicios ocultos Tor y obfs4 para camuflar el tráfico, lo que complica la detección por IDS/IPS y el análisis de red.
Cadena de infección: phishing con señuelos militares, LNK y PowerShell
La intrusión comienza con correos de phishing que contienen documentos con temática militar. El adjunto ZIP incluye un segundo archivo comprimido y un acceso directo LNK. Al ejecutarlo, se activa un dropper de PowerShell en múltiples etapas que descarga y despliega los componentes maliciosos. Según los investigadores, artefactos relacionados fueron subidos a VirusTotal en octubre de 2025 desde Bielorrusia.
Evasión de análisis: señales de “estación real” frente a sandbox
El stager de PowerShell evalúa el entorno para eludir sandboxes y automatizaciones: finaliza si detecta menos de 10 archivos LNK recientes o menos de 50 procesos, un patrón típico de entornos de prueba. Tras superar los chequeos, escribe el onion del operador (yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd[.]onion) en un archivo de “hostname” dentro de AppData\Roaming\logicpro, muestra a la víctima un PDF señuelo y crea una tarea programada githubdesktopMaintenance que se ejecuta al inicio de sesión y diariamente a las 10:21.
Persistencia y C2: OpenSSH camuflado, Tor personalizado y obfs4
La tarea invoca logicpro/githubdesktop.exe, un sshd.exe legítimo renombrado, para habilitar un servicio SSH con claves preinstaladas en el directorio logicpro, facilitando acceso interactivo y SFTP. Un segundo programador lanza logicpro/pinterest.exe, un binario Tor modificado que levanta un servicio oculto y enruta el C2 por direcciones .onion. La capa obfs4 disfraza el flujo para resistir técnicas de inspección profunda (DPI), según la documentación del Tor Project, ampliamente usada para eludir bloqueos de tráfico.
Además, se configuran redirecciones de puertos para RDP, SSH y SMB, garantizando control remoto resiliente a través de Tor. El implante recolecta telemetría del host, genera un onion-hostname único y utiliza curl para reportar a la infraestructura de mando. Con el URL asignado, los operadores administran el sistema mediante SSH, RDP, SFTP y SMB, todo proxificado por Tor.
Atribución y encaje en MITRE ATT&CK
No hay atribución definitiva; los analistas señalan indicios que apuntan a Europa del Este y una posible conexión con UAC-0125. Las técnicas encajan con MITRE ATT&CK: T1566.001 (phishing con adjuntos), T1204 (ejecución por el usuario), T1059.001 (PowerShell), T1053.005 (tareas programadas), T1021.004 (servicios remotos: SSH), T1090 (proxys/túneles) y T1041 (exfiltración por C2). El uso de obfs4 refuerza el objetivo de baja detectabilidad y robustez del canal.
Detección y contención: recomendaciones prácticas
Endurecer el correo: filtros por tipo de adjunto (ZIP, LNK), sandboxing de documentos y políticas restrictivas de ejecución.
Políticas sobre PowerShell y LNK: aplicar Constrained Language Mode, exigir firmas digitales y alertar sobre LNK con argumentos anómalos.
Higiene de persistencia: auditar el Programador de tareas; la creación de githubdesktopMaintenance o binarios desconocidos en perfiles de usuario es un indicador de compromiso.
Monitoreo de red: detección de patrones Tor/obfs4 por comportamiento, control de conexiones salientes y segmentación estricta de RDP/SMB/SSH. Las guías de CISA y MITRE recomiendan bloquear protocolos no necesarios y registrar exhaustivamente el tráfico lateral.
Inventario y hardening: identificar servicios SSH no autorizados y claves preprovisionadas, aplicar principios de mínimo privilegio y fortalecer cuentas y estaciones.
Operation SkyCloak evidencia una tendencia clara: abuso de herramientas legítimas y canales C2 anónimos para sostener el acceso en redes sensibles. Reforzar la formación anti‑phishing, endurecer PowerShell y LNK, y desplegar detecciones de Tor/obfs4 a nivel perimetral y de endpoint reduce el tiempo de permanencia del atacante. Es recomendable revisar los modelos de amenaza, actualizar casos de uso de SIEM y realizar caza de amenazas enfocada en IoC/IoA descritos para elevar la resiliencia organizacional.
