Bedreigingsactoren maken gebruik van bewapende bijlagen die via phishing-e-mails worden verspreid om malware te verspreiden die waarschijnlijk gericht is op de defensiesector in Rusland en Wit-Rusland.
Volgens meerdere rapporten van Cyble en Seqrite Labs is de campagne ontworpen om een persistente achterdeur in te zetten op gecompromitteerde hosts die OpenSSH gebruiken in combinatie met een aangepaste verborgen Tor-service die obfs4 gebruikt om verkeer te verduisteren.
De activiteit heeft de codenaam gekregen Operatie SkyCloak door Seqrite, waarin staat dat de phishing-e-mails gebruik maken van lokmiddelen die verband houden met militaire documenten om de ontvangers ervan te overtuigen een ZIP-bestand te openen dat een verborgen map bevat met een tweede archiefbestand, samen met een Windows-snelkoppelingsbestand (LNK), dat, wanneer het wordt geopend, de uit meerdere stappen bestaande infectieketen activeert.
“Ze activeren PowerShell-opdrachten die fungeren als de eerste dropper-fase waarin een ander archiefbestand naast de LNK wordt gebruikt om de hele keten op te zetten”, zeiden beveiligingsonderzoekers Sathwik Ram Prakki en Kartikkumar Jivani, eraan toevoegend dat de archiefbestanden in oktober 2025 vanuit Wit-Rusland naar het VirusTotal-platform waren geüpload.
Eén zo’n tussenmodule is een PowerShell-stager die verantwoordelijk is voor het uitvoeren van anti-analysecontroles om sandbox-omgevingen te omzeilen, en voor het schrijven van een Tor-ui-adres (“yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd(.)onion” naar een bestand met de naam “hostname” in de Locatie “C:Users
Als onderdeel van zijn analysecontroles bevestigt de malware dat het aantal recente LNK-bestanden op het systeem groter is dan of gelijk is aan 10 en verifieert dat het huidige aantal processen groter is dan of gelijk is aan 50. Als aan een van de voorwaarden niet wordt voldaan, stopt de PowerShell abrupt met de uitvoering.
“Deze controles dienen als mechanismen voor milieubewustzijn, omdat sandbox-omgevingen doorgaans minder door gebruikers gegenereerde snelkoppelingen en verminderde procesactiviteit vertonen vergeleken met echte gebruikerswerkstations”, aldus Cyble.
Zodra aan deze omgevingscontroles is voldaan, gaat het script verder met het weergeven van een PDF-lokmiddeldocument dat is opgeslagen in de eerder genoemde map “logicpro”, terwijl persistentie op de machine wordt ingesteld met behulp van een geplande taak onder de naam “githubdesktopMaintenance” die automatisch wordt uitgevoerd na het inloggen van de gebruiker en elke dag met regelmatige tussenpozen om 10:21 uur UTC wordt uitgevoerd.
De geplande taak is ontworpen om “logicpro/githubdesktop.exe” te starten, wat niets anders is dan een hernoemde versie van “sshd.exe”, een legitiem uitvoerbaar bestand geassocieerd met OpenSSH voor Windows”, waardoor de bedreigingsactor een SSH-service kan opzetten die de communicatie beperkt tot vooraf geïmplementeerde geautoriseerde sleutels die zijn opgeslagen in dezelfde map “logicpro”.
Naast het mogelijk maken van bestandsoverdracht via SFTP, creëert de malware ook een tweede geplande taak die is geconfigureerd om ‘logicpro/pinterest.exe’ uit te voeren, een aangepast Tor-binair bestand dat wordt gebruikt om een verborgen service te creëren die communiceert met het .onion-adres van de aanvaller door het netwerkverkeer te verdoezelen met behulp van obfs4. Bovendien implementeert het port forwarding voor meerdere kritieke Windows-services zoals RDP, SSH en SMB om de toegang tot systeembronnen via het Tor-netwerk te vergemakkelijken.
Zodra de verbinding tot stand is gebracht, exfiltreert de malware systeeminformatie, naast een unieke .onion URL-hostnaam die het aangetaste systeem identificeert door middel van een curl-opdracht. De bedreigingsacteur krijgt uiteindelijk toegang op afstand tot het gecompromitteerde systeem na ontvangst van de .onion-URL van het slachtoffer via het command-and-control-kanaal.
Hoewel het momenteel niet duidelijk is wie er achter de campagne zit, zeggen beide beveiligingsleveranciers dat deze consistent is met Oost-Europese spionageactiviteiten gericht op defensie- en overheidssectoren. Cyble heeft met gemiddeld vertrouwen vastgesteld dat de aanval tactische overlappingen vertoont met een eerdere campagne van een bedreigingsacteur die door CERT-UA wordt gevolgd onder de naam UAC-0125.
“Aanvallers hebben toegang tot SSH, RDP, SFTP en SMB via verborgen Tor-services, waardoor volledige systeemcontrole mogelijk wordt terwijl de anonimiteit behouden blijft”, voegde het bedrijf eraan toe. “Alle communicatie verloopt via anonieme adressen met behulp van vooraf geïnstalleerde cryptografische sleutels.”
