Các tác nhân đe dọa đang lợi dụng các tệp đính kèm chứa mã độc được phân phối qua email lừa đảo để phát tán phần mềm độc hại, nhiều khả năng nhắm vào lĩnh vực quốc phòng ở Nga và Belarus.
Theo nhiều báo cáo từ Cyble và Seqrite Labs, chiến dịch này được thiết kế để triển khai một backdoor dai dẳng trên các máy chủ bị xâm nhập, sử dụng OpenSSH kết hợp với dịch vụ ẩn Tor tùy chỉnh và công nghệ obfs4 để che giấu lưu lượng truy cập.
Hoạt động này đã được Seqrite đặt tên là Operation SkyCloak, trong đó các email lừa đảo sử dụng mồi nhử liên quan đến tài liệu quân sự để thuyết phục người nhận mở một tệp ZIP chứa một thư mục ẩn với một tệp lưu trữ thứ hai, cùng với một tệp tắt Windows (LNK). Khi mở, tệp LNK này sẽ kích hoạt chuỗi lây nhiễm nhiều bước.
Các nhà nghiên cứu bảo mật Sathwik Ram Prakki và Kartikkumar Jivani cho biết: "Chúng kích hoạt các lệnh PowerShell đóng vai trò là giai đoạn dropper ban đầu, nơi một tệp lưu trữ khác ngoài LNK được sử dụng để thiết lập toàn bộ chuỗi." Họ nói thêm rằng các tệp lưu trữ đã được tải lên nền tảng VirusTotal từ Belarus vào tháng 10 năm 2025.
Một module trung gian như vậy là một PowerShell stager chịu trách nhiệm chạy các kiểm tra chống phân tích để né tránh các môi trường sandbox, cũng như ghi một địa chỉ Tor onion ("yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd[.]onion") vào một tệp có tên "hostname" tại vị trí "C:\Users\<Username>\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\".
Là một phần của các kiểm tra phân tích, phần mềm độc hại xác nhận rằng số lượng tệp LNK gần đây có trên hệ thống lớn hơn hoặc bằng 10 và xác minh rằng số lượng tiến trình hiện tại vượt quá hoặc bằng 50. Nếu một trong hai điều kiện không được đáp ứng, PowerShell sẽ ngừng thực thi đột ngột.
"Những kiểm tra này đóng vai trò như các cơ chế nhận biết môi trường, vì các môi trường sandbox thường hiển thị ít các shortcut do người dùng tạo và hoạt động tiến trình ít hơn so với các máy trạm của người dùng thực," Cyble nói.
Khi các kiểm tra môi trường này được đáp ứng, script sẽ tiếp tục hiển thị một tài liệu PDF mồi nhử được lưu trữ trong thư mục "logicpro" đã nói ở trên, đồng thời thiết lập tính dai dẳng trên máy bằng cách sử dụng một tác vụ đã lên lịch với tên "githubdesktopMaintenance" chạy tự động sau khi người dùng đăng nhập và chạy định kỳ hàng ngày vào lúc 10:21 sáng UTC.
Tác vụ đã lên lịch được thiết kế để khởi chạy "logicpro/githubdesktop.exe", thực chất là một phiên bản đổi tên của "sshd.exe", một tệp thực thi hợp pháp liên quan đến OpenSSH dành cho Windows, cho phép tác nhân đe dọa thiết lập một dịch vụ SSH giới hạn giao tiếp với các khóa được ủy quyền đã triển khai trước đó được lưu trữ trong cùng thư mục "logicpro".
Ngoài việc cho phép khả năng truyền tệp bằng SFTP, phần mềm độc hại còn tạo một tác vụ đã lên lịch thứ hai được cấu hình để thực thi "logicpro/pinterest.exe", một binary Tor tùy chỉnh được sử dụng để tạo một dịch vụ ẩn giao tiếp với địa chỉ .onion của kẻ tấn công bằng cách che giấu lưu lượng mạng bằng obfs4. Hơn nữa, nó còn triển khai chuyển tiếp cổng cho nhiều dịch vụ Windows quan trọng như RDP, SSH và SMB để tạo điều kiện truy cập tài nguyên hệ thống thông qua mạng Tor.
Khi kết nối được thiết lập thành công, phần mềm độc hại sẽ trích xuất thông tin hệ thống, cùng với một hostname URL .onion duy nhất xác định hệ thống bị xâm nhập thông qua một lệnh curl. Tác nhân đe dọa cuối cùng sẽ có được khả năng truy cập từ xa vào hệ thống bị xâm nhập khi nhận được URL .onion của nạn nhân thông qua kênh command-and-control.
Mặc dù hiện tại chưa rõ ai đứng đằng sau chiến dịch này, nhưng cả hai nhà cung cấp bảo mật đều cho rằng nó phù hợp với hoạt động gián điệp liên quan đến Đông Âu nhắm vào lĩnh vực quốc phòng và chính phủ. Cyble đã đánh giá với độ tin cậy trung bình rằng cuộc tấn công này có sự trùng lặp về chiến thuật với một chiến dịch trước đó được thực hiện bởi một tác nhân đe dọa được CERT-UA theo dõi dưới tên UAC-0125.
"Kẻ tấn công truy cập SSH, RDP, SFTP và SMB thông qua các dịch vụ Tor ẩn, cho phép kiểm soát toàn bộ hệ thống trong khi vẫn giữ được tính ẩn danh," công ty nói thêm. "Tất cả các giao tiếp đều được định tuyến qua các địa chỉ ẩn danh bằng cách sử dụng các khóa mã hóa đã được cài đặt trước."
