Operation SkyCloak: оборонные предприятия РФ и Беларуси стали целью многоступенчатой атаки

Operation SkyCloak Tor OpenSSH Cyble Seqrite шпионская кампания
Operation SkyCloak: оборонные предприятия РФ и Беларуси стали целью многоступенчатой атаки
Operation SkyCloak Tor OpenSSH Cyble Seqrite шпионская кампания

Кампания началась в середине осени с рассылки архивов под видом служебной документации.

image

В середине осени 2025 года специалисты компаний Cyble и Seqrite Labs зафиксировали новую волну целевой вредоносной активности, получившую название Operation SkyCloak. По их данным, неизвестные злоумышленники проводят фишинговую кампанию, ориентированную на оборонные организации в России и Беларуси. Целью рассылки является скрытая установка многоступенчатого бэкдора с использованием OpenSSH и анонимной инфраструктуры Tor, специально настроенной с применением протокола obfs4 для сокрытия сетевого трафика.

Письма рассылаются под видом военных документов и содержат ZIP-архив, внутри которого скрыт LNK-файл и дополнительный архив. Открытие ярлыка запускает цепочку PowerShell-команд, инициирующих дальнейшую загрузку компонентов. Эти команды выявляют, насколько среда заражения похожа на реальную — проверяется количество созданных ярлыков и число активных процессов. Если значение ниже порога, сценарий останавливается, исключая запуск в песочницах и на исследовательских машинах. Все образцы, по данным исследователей, были загружены в VirusTotal из Беларуси в октябре.

При успешном прохождении проверки скрипт открывает ложный PDF-документ и одновременно создаёт запланированную задачу с названием «githubdesktopMaintenance». Эта задача срабатывает ежедневно в одно и то же время после входа пользователя и запускает переименованное исполняемое приложение sshd.exe — компонент OpenSSH для Windows, размещённый под видом файла githubdesktop.exe в каталоге logicpro. Через него устанавливается ограниченный по ключам SSH-доступ, позволяющий операторам удалённо взаимодействовать с системой, избегая обнаружения стандартными средствами аудита.

Второй элемент — модифицированная сборка Tor, размещённая под именем pinterest.exe, также запускается по расписанию. Её задача — создать скрытую службу, связывающуюся с onion-адресом злоумышленников через obfs4-трафик. Этот бинарник даёт возможность проксировать доступ к ряду критических сервисов Windows — таких как RDP, SMB и SSH — по сети Tor, обеспечивая при этом устойчивое соединение и обход стандартных средств защиты.

По завершении установки бэкдор передаёт сведения о заражённой системе, включая сгенерированный для неё onion-хостнейм, посредством команды curl. После этого злоумышленники получают возможность полноценно управлять целевой машиной, пользуясь зашифрованным каналом командно-контрольной инфраструктуры.

Характеристики вредоносной цепочки и выбор целевых стран, по оценке Seqrite и Cyble, указывают на её возможную принадлежность к шпионской операции, связанной с Восточной Европой. Авторы отчёта подчёркивают, что задействованная архитектура позволяет атакующим работать незаметно — весь обмен данными проходит через Tor, а ключи шифрования для доступа подставляются заранее.