Исследователи Cyble и Seqrite Labs выявили целевую шпионскую операцию Operation SkyCloak, ориентированную на оборонные и государственные структуры в России и Беларуси. Кампания отличается устойчивым доступом к системам жертв за счет комбинации OpenSSH-бэкдора, скрытых сервисов Tor и обфускации трафика через obfs4, что значительно осложняет обнаружение и реагирование.
Цепочка заражения: фишинг, LNK и PowerShell-стейджеры
Атаки стартуют с фишинговых писем с военными документами-приманками. Пользователю предлагают открыть ZIP-архив, внутри которого скрыта дополнительная структура: еще один архив и ярлык Windows (LNK). Запуск ярлыка инициирует многоэтапный PowerShell-дроппер, разворачивающий полный набор компонентов. По данным исследователей, связанные архивы загружались на VirusTotal в октябре 2025 года из Беларуси.
Антианализ и маскировка под «реальную» рабочую станцию
Ключевой элемент — PowerShell-стейджер, проверяющий контекст исполнения, чтобы избежать песочниц и автоматизированного анализа. Скрипт завершает работу, если в системе обнаружено менее 10 недавних LNK-файлов или запущено менее 50 процессов. Такой профиль действительно типичен для тестовых окружений и аналитических песочниц, а не для активных рабочих станций.
После успешных проверок стейджер записывает onion-адрес операторов (yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd[.]onion) в файл hostname по пути C:\Users\
Постоянный доступ через OpenSSH, Tor и obfs4
Задача запускает logicpro/githubdesktop.exe — переименованный легитимный sshd.exe, что позволяет противнику развернуть SSH-сервис с предустановленными ключами, лежащими в директории logicpro. Помимо интерактивного доступа, злоумышленники получают канал для передачи файлов по SFTP.
Второй планировщик выполняет logicpro/pinterest.exe — кастомизированный бинарник Tor, который формирует скрытый сервис и обслуживает связь с C2 через .onion-адреса. Применение obfs4 маскирует трафик, усложняя его классификацию технологиями DPI и средствами сетевой аналитики. Дополнительно настраивается переадресация портов для RDP, SSH и SMB, что дает устойчивый удаленный доступ к ключевым сервисам системы через Tor при сохранении анонимности.
После установки соединения малварь собирает сведения о хосте и генерирует уникальный .onion-hostname для идентификации компрометации. Далее информация передается на управляющую инфраструктуру с помощью curl. Получив URL жертвы, операторы могут полноценно управлять системой по SSH, RDP, SFTP и SMB — все каналы проксируются через Tor.
Атрибуция и контекст: тенденция на Tor-ориентированный C2
Исследователи не дают окончательной атрибуции, однако отмечают возможную связь с Восточной Европой и группировкой UAC-0125. Используемые техники хорошо вписываются в MITRE ATT&CK: T1566.001 (фишинг через вложения), T1204 (User Execution), T1059.001 (PowerShell), T1053.005 (Scheduled Task), T1021.004 (Remote Services: SSH), T1090 (Proxy/Туннелирование) и T1041 (Экcфильтрация через C2). Выбор obfs4, широко применяемого для обхода блокировок Tor-трафика, подтверждает фокус злоумышленников на скрытности и устойчивости каналов управления.
Рекомендации по защите для гос- и оборонных организаций
Укрепление почтовой защиты: внедрить многочисленные уровни фильтрации вложений (ZIP, LNK), «песочницу» для документов и строгие политики выполнения скриптов.
Политики PowerShell и LNK: ограничить исполнение PowerShell (Constrained Language Mode, подписанные скрипты), мониторить запуск LNK с аномальными аргументами.
Контроль автозапуска: регулярно аудировать планировщик задач; любые новые задачи наподобие githubdesktopMaintenance и неизвестные бинарники в профилях пользователей — красный флаг.
Сетевой мониторинг: обнаружение Tor/obfs4 по поведенческим признакам, запрет нежелательных протоколов, контроль исходящих соединений и туннелей, сегментация доступа к RDP/SMB/SSH.
Инвентаризация ключей и сервисов: выявлять несанкционированные SSH-сервисы и предустановленные ключи; проводить харденинг хостов и учетных записей.
Operation SkyCloak демонстрирует смещение угроз к анонимным, обфусцированным каналам управления и легитимным инструментам для закрепления. Организациям критической инфраструктуры стоит пересмотреть модели угроз, усилить контроль над сценариями LNK/PowerShell и внедрить мониторинг Tor/obfs4 на сетевом уровне. Регулярные учения по фишингу, жесткие политики исполнения и проактивная охота за угрозами помогут сократить окно атаки и повысить устойчивость к подобным операциям.
