31 октября 2025 года специалисты Cyble и Seqrite Labs выявили фишинговую рассылку, в рамках которой злоумышленники применяли ZIP-архив с военной тематикой для компрометации систем. В качестве привлекающего элемента использовался поддельный документ оборонного характера. Данная операция получила кодовое название Skycloak. Киберпреступники внедряют в сети жертв бэкдор на основе OpenSSH и скрытых сервисов, что позволяет им сохранять длительный доступ к заражённым устройствам.
В тот же день эксперты по кибербезопасности из компаний Cyble и Seqrite Labs зарегистрировали целенаправленную вредоносную активность под именем Skyсloak, о чём сообщили в своём отчёте на платформе Cyble. Согласно предоставленным данным, объектами масштабной кибератаки стали оборонные организации России и Беларуси, при этом злоумышленники заманивали жертв с помощью фальшивых документов военной направленности.
Как указывают Cyble и Seqrite Labs, неизвестная группа хакеров организовала фишинговую кампанию, ориентированную на оборонный сектор России и Беларуси. Ключевой задачей атаки является скрытная установка многоступенчатого бэкдора через OpenSSH и сеть Tor. Чтобы замаскировать передаваемые данные, злоумышленники целенаправленно задействуют протокол obfs4 (obfuscated4), делающий соединения практически неотличимыми от обычного зашифрованного трафика.
Уже на протяжении двух десятилетий для подключения к Tor применяются мосты, работающие на основе транспортных протоколов obfs3 и obfs4. Такие серверы отсутствуют в публичном перечне узлов Tor Project, и пользователям необходимо запрашивать их адреса отдельно. По своей сути, протокол obfs4 добавляет дополнительный шифровальный слой между пользователем и мостом, в результате чего трафик Tor воспринимается как случайный набор байтов. Он также обеспечивает защиту от атак активного зондирования, когда цензурирующие системы пытаются выявить мосты путём подключения к ним.
Специалисты Cyble установили, что фишинговые сообщения имитируют официальные военные документы и включают ZIP-архив с ярлыком Windows (LNK) и дополнительным архивом внутри. Файлы LNK дают возможность запускать приложения без необходимости поиска исполняемого файла в глубинах файловой системы, например, по пути C:Program FilesXnViewHello-World.exe.
Активация ярлыка инициирует выполнение PowerShell-скрипта, загружающего дополнительные компоненты вредоносного ПО. Первоначально код проводит анти-аналитическую проверку: оценивает количество ярлыков на рабочем столе и активные процессы. При обнаружении показателей ниже установленного предела, что характерно для виртуальных окружений и тестовых стендов в октябре 2025 года, процесс прекращается — так злоумышленники избегают автоматизированного исследования. Согласно данным специалистов по кибербезопасности, все выявленные экземпляры были загружены в VirusTotal именно из Беларуси в указанный период.
В качестве приманки использовался белорусский военный документ «ТЛГ на убытие на переподготовку.pdf». После успешного прохождения проверки на анализ скрипт выполняет два параллельных действия: демонстрирует пользователю отвлекающий фальшивый PDF-документ и создает запланированную задачу с безобидным именем githubdesktopMaintenance.
Данная задача активируется ежедневно после авторизации пользователя и запускает файл sshd.exe (подлинный компонент OpenSSH для Windows), который злоумышленники переименовали в githubdesktop.exe и разместили в директории logicpro. Через этот легитимный sshd.exe злоумышленники получают SSH-доступ с ограниченными ключами к инфицированной системе. Благодаря имитации процесса GitHub Desktop и применению настоящего OpenSSH-сервера сетевая активность остается практически незаметной для стандартных систем мониторинга.
Второй компонент — специально адаптированная версия Tor, замаскированная под pinterest.exe и также запускаемая по расписанию. Её функция — развертывание скрытой службы (hidden service), подключающейся к .onion-адресу операторов через обфусцированный трафик obfs4. Данный модуль проксирует доступ к ключевым службам Windows (RDP, SMB, SSH) через сеть Tor, обеспечивая стабильное соединение даже при блокировках и полностью обходя традиционные средства защиты.
По завершении установки бэкдор передает отчет о compromised системе — включая уникальный .onion-хостнейм — посредством утилиты curl. С этого момента операторы получают полный удаленный контроль над компьютером жертвы через зашифрованный канал управления (C2) в сети Tor. Весь обмен данными скрыт, устойчив к блокировкам и практически не обнаруживается стандартными средствами анализа.
Как отмечают эксперты Cyble и Seqrite Labs, характеристики данной вредоносной цепочки — от продвинутой маскировки до выбора целей — четко указывают на шпионскую операцию восточноевропейского происхождения.
Специалисты, подготовившие документ, акцентируют внимание на том, что структура бэкдора гарантирует злоумышленникам практически абсолютную скрытность. Вся связь с управляющими серверами осуществляется только через сеть Tor, а SSH-ключи для авторизации жестко заданы изначально, что предотвращает любые подозрительные сетевые взаимодействия и значительно затрудняет выявление угрозы.
