Atividades maliciosas estão explorando anexos weaponized distribuídos por meio de phishing para entregar malware que possivelmente mira os setores de defesa na Rússia e na Bielorrússia.
De acordo com análises da Cyble e do Seqrite Labs, a campanha tem como objetivo instalar uma backdoor persistente nas máquinas infectadas.
Para isso, utiliza o OpenSSH junto a um serviço oculto personalizado na rede Tor, que emprega o protocolo obfs4 para ofuscar o tráfego.
Batizada de Operation SkyCloak pelo Seqrite, a ação começa com e-mails de phishing que usam iscas relacionadas a documentos militares para persuadir as vítimas a abrir um arquivo ZIP.
Dentro dele, há uma pasta oculta com um segundo arquivo compactado e um atalho do Windows (arquivo LNK).
Ao abrir o link, inicia-se uma cadeia de infecção em múltiplas etapas.
Segundo os pesquisadores Sathwik Ram Prakki e Kartikkumar Jivani, esses atalhos disparam comandos PowerShell que funcionam como fase inicial para baixar e configurar o restante do malware.
Os arquivos foram inicialmente enviados da Bielorrússia para a plataforma VirusTotal em outubro de 2025.
Um módulo intermediário é um stager em PowerShell responsável por executar verificações anti-análise para evitar execução em sandbox, além de gravar um endereço Onion do Tor ("yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd[.]onion") no arquivo “hostname”, salvo no caminho "C:\Users\<Username>\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\".
Nas checagens de ambiente, o malware confirma se há pelo menos 10 arquivos LNK recentes no sistema e se a quantidade atual de processos ativos é igual ou superior a 50.
Caso alguma dessas condições falhe, a execução via PowerShell é encerrada abruptamente.
“Tais verificações funcionam como mecanismos de detecção ambiental, pois ambientes de sandbox normalmente têm menos atalhos criados pelo usuário e menor atividade de processos em comparação aos computadores reais”, explicou a Cyble.
Quando essas condições são cumpridas, o script exibe um documento PDF falso da pasta “logicpro” para distrair o usuário, enquanto configura persistência no sistema.
Isso é feito por meio de uma tarefa agendada chamada “githubdesktopMaintenance”, que inicia automaticamente após o login e é executada diariamente às 7h21, horário de Brasília.
Essa tarefa lança o arquivo "logicpro/githubdesktop.exe", uma versão renomeada do "sshd.exe", executável legítimo do OpenSSH para Windows.
Assim, o atacante estabelece um serviço SSH que restringe a comunicação apenas a chaves autorizadas previamente armazenadas na pasta “logicpro”.
Além de permitir transferência de arquivos via SFTP, o malware cria uma segunda tarefa agendada para executar “logicpro/pinterest.exe”, um binário Tor customizado.
Esse componente cria o serviço oculto que se comunica com o endereço .onion do invasor, aplicando obfs4 para camuflar o tráfego de rede.
Também há redirecionamento de portas para serviços críticos do Windows, como RDP, SSH e SMB, facilitando o acesso ao sistema por meio da rede Tor.
Assim que a conexão com o servidor é estabelecida, o malware exfiltra informações do sistema via URL .onion único, que serve para identificar a máquina comprometida.
Esses dados são enviados por meio de um comando curl ao canal de comando e controle, permitindo que o invasor obtenha controle remoto completo da máquina vítima.
Embora a identidade dos responsáveis ainda seja incerta, as empresas de segurança destacam que a campanha apresenta características típicas de espionagem vinculada à Europa Oriental, mirando órgãos governamentais e de defesa.
A Cyble avalia com confiança média que o ataque possui semelhanças táticas com outra operação atribuída a grupo rastreado pelo CERT-UA como UAC-0125.
“Os atacantes acessam SSH, RDP, SFTP e SMB via serviços Tor ocultos, garantindo controle total do sistema enquanto mantêm seu anonimato”, acrescentou a empresa.
“Todas as comunicações trafegam por endereços anônimos utilizando chaves criptográficas pré-instaladas.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...