Los actores de amenazas están aprovechando los archivos adjuntos armados distribuidos a través de correos electrónicos de phishing para entregar malware que probablemente tenga como objetivo los sectores de defensa en Rusia y Bielorrusia.
Según múltiples informes de Cyble y Seqrite Labs, la campaña está diseñada para implementar una puerta trasera persistente en hosts comprometidos utilizando OpenSSH junto con un servicio oculto Tor personalizado que utiliza obfs4 para ofuscar el tráfico.
La campaña, cuyo nombre en código es «Operación SkyCloak» de Seqrite, afirma que el correo electrónico de phishing utiliza señuelos relacionados con documentos militares para engañar a los destinatarios para que abran un archivo ZIP que contiene un segundo archivo y una carpeta oculta que contiene archivos de acceso directo de Windows (LNK), que al abrir el archivo ZIP desencadena una cadena de infección de varios pasos.
«Estos activan comandos de PowerShell que sirven como la primera etapa de descarga donde se utiliza otro archivo distinto de LNK para configurar toda la cadena», dijeron los investigadores de seguridad Sathwik Ram Prakki y Kartikkumar Jivani, y agregaron que los archivos se cargaron en la plataforma VirusTotal desde Bielorrusia en octubre de 2025.
Uno de esos módulos intermedios es un stager de PowerShell que es responsable de realizar comprobaciones antianálisis para evitar un entorno de espacio aislado y también actualiza la dirección de cebolla de Tor (‘yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd(.)onion’ a la Ubicación de «C:\Users\\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\».
Como parte de sus controles de análisis, el malware verifica que la cantidad de archivos LNK recientes presentes en el sistema sea al menos 10 y que la cantidad de procesos actuales sea al menos 50. Si no se cumple alguna de las condiciones, PowerShell detendrá abruptamente la ejecución.
«Estas comprobaciones sirven como un mecanismo de concienciación del entorno, ya que los entornos sandbox suelen tener menos accesos directos creados por el usuario y una actividad de proceso reducida en comparación con las estaciones de trabajo de usuarios reales», dijo Cyble.
Una vez que se cumplen estas comprobaciones del entorno, el script procede a mostrar el documento señuelo PDF almacenado en la carpeta ‘logicpro’ antes mencionada, al mismo tiempo que configura la persistencia en la máquina utilizando una tarea programada llamada ‘githubdesktopMaintenance’. Esta tarea se ejecuta automáticamente después de que un usuario inicia sesión y se ejecuta regularmente todos los días a las 10:21 a. m. (UTC).
La tarea programada está diseñada para iniciar «logicpro/githubdesktop.exe». Es simplemente una versión renombrada del ejecutable legítimo «sshd.exe» asociado con OpenSSH para Windows. Esto permite a un atacante establecer un servicio SSH que restringe la comunicación a claves autorizadas previamente implementadas y almacenadas en la misma carpeta «logicpro».
Además de habilitar la funcionalidad de transferencia de archivos mediante SFTP, el malware también crea una segunda tarea programada configurada para ejecutar ‘logicpro/pinterest.exe’. Esta tarea es un binario Tor personalizado que se utiliza para crear un servicio oculto que se comunica con la dirección .onion del atacante ofuscando el tráfico de red mediante obfs4. Además, implementa el reenvío de puertos para varios servicios importantes de Windows, como RDP, SSH y SMB, para facilitar el acceso a los recursos del sistema a través de la red Tor.
Una vez que se establece con éxito una conexión, el malware utiliza el comando curl para robar información del sistema además del nombre de host URL único .onion que identifica el sistema comprometido. El atacante finalmente recibe la URL .onion de la víctima a través de un canal de comando y control y obtiene acceso remoto al sistema comprometido.
No está claro de inmediato quién está detrás de la campaña, pero ambos proveedores de seguridad dijeron que la campaña es consistente con los esfuerzos de espionaje relacionados con Europa del Este dirigidos a los sectores gubernamentales y de defensa. Cyble evaluó con confianza media que este ataque fue tácticamente duplicado con una campaña anterior lanzada por el actor, que fue rastreada por CERT-UA como UAC-0125.
«El atacante obtiene acceso a SSH, RDP, SFTP y SMB a través de servicios Tor ocultos, lo que le permite un control total del sistema manteniendo el anonimato», añadió la empresa. «Toda la comunicación se realiza a través de direcciones anónimas utilizando claves de cifrado preinstaladas».
Source link
