Los actores de amenazas están aprovechando los archivos adjuntos armados distribuidos a través de correos electrónicos de suplantación de identidad para enviar malware que probablemente esté dirigido al sector de la defensa en Rusia y Bielorrusia.
Según múltiples informes de Cyble y Laboratorios Seqrite , la campaña está diseñada para implementar una puerta trasera persistente en los servidores comprometidos que usa OpenSSH junto con un servicio oculto de Tor personalizado que emplea obfs4 para la ofuscación del tráfico.
La actividad tiene un nombre en clave Operación SkyCloak de Seqrite, en la que afirma que los correos electrónicos de suplantación de identidad utilizan señuelos relacionados con documentos militares para convencer a los destinatarios de que abran un archivo ZIP que contiene una carpeta oculta con un segundo archivo de almacenamiento, junto con un archivo de acceso directo de Windows (LNK) que, al abrirse, desencadena una cadena de infección de varios pasos.
«Activan comandos de PowerShell que actúan como la fase inicial de entrega, en la que se utiliza otro archivo además del LNK para configurar toda la cadena», dijeron los investigadores de seguridad Sathwik Ram Prakki y Kartikkumar Jivani, quienes agregaron que los archivos de almacenamiento se cargaron desde Bielorrusia a la plataforma VirusTotal en octubre de 2025.
<Username>Uno de esos módulos intermedios es un stager de PowerShell que se encarga de ejecutar comprobaciones antianálisis para evadir los entornos de sandbox, así como de escribir una dirección Tor onion («yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd [.] onion» en un archivo llamado «hostname» en "C:\Users\\ AppData\ Roaming\ ubicación de logicpro\ SocketExecutingLoggingIncrementalCompiler\».
Como parte de sus comprobaciones de análisis, el malware confirma que la cantidad de archivos LNK recientes presentes en el sistema es mayor o igual a 10 y verifica que el recuento de procesos actual supera o es igual a 50. Si no se cumple alguna de las condiciones, el PowerShell deja de ejecutarse abruptamente.
«Estas comprobaciones sirven como mecanismos de concienciación medioambiental, ya que los entornos sandbox suelen tener menos atajos generados por los usuarios y una menor actividad de procesos en comparación con las estaciones de trabajo de usuarios genuinos», afirma Cyble.
Una vez realizadas estas comprobaciones ambientales, el script pasa a mostrar un documento señuelo en PDF almacenado en la carpeta «logicpro» antes mencionada y, al mismo tiempo, configura la persistencia en la máquina mediante una tarea programada con el nombre «GitHubDesktopMaintenance» que se ejecuta automáticamente tras el inicio de sesión del usuario y se ejecuta a intervalos regulares todos los días a las 10:21 a. m. UTC.
La tarea programada está diseñada para lanzar "logicpro/githubdesktop.exe», que no es más que una versión renombrada de "sshd.exe», un ejecutable legítimo asociado a OpenSSH para Windows», que permite al autor de la amenaza establecer un servicio SSH que restrinja las comunicaciones a las claves autorizadas previamente implementadas almacenadas en la misma carpeta «logicpro».
Además de habilitar las capacidades de transferencia de archivos mediante SFTP, el malware también crea una segunda tarea programada que está configurada para ejecutar "logicpro/pinterest.exe», un binario de Tor personalizado que se utiliza para crear un servicio oculto que se comunica con la dirección.onion del atacante al ofuscar el tráfico de red mediante obfs4. Además, implementa el reenvío de puertos para varios servicios críticos de Windows, como RDP, SSH y SMB, a fin de facilitar el acceso a los recursos del sistema a través de la red Tor.
Una vez que la conexión se establece correctamente, el malware filtra la información del sistema, además de un nombre de host URL único .onion que identifica el sistema comprometido mediante un comando curl. En última instancia, el autor de la amenaza obtiene la capacidad de acceso remoto al sistema infectado al recibir la URL .onion de la víctima a través del canal de comando y control.
Si bien actualmente no está claro quién está detrás de la campaña, ambos proveedores de seguridad dijeron que es coherente con la actividad de espionaje vinculada a Europa del Este dirigida a los sectores de defensa y gobierno. Cyble ha evaluado con un nivel de confianza medio que el ataque comparte coincidencias tácticas con una campaña anterior organizada por un agente de amenazas rastreado por el CERT-UA con el apodo UAC-0125 .
«Los atacantes acceden a SSH, RDP, SFTP y SMB a través de servicios Tor ocultos, lo que permite un control total del sistema y preserva el anonimato», añadió la empresa. «Todas las comunicaciones se dirigen a través de direcciones anónimas utilizando claves criptográficas preinstaladas».