Operation SkyCloak è il nome in codice di una campagna di cyber spionaggio che sta attirando l’attenzione degli esperti di sicurezza per la sua sofisticazione e per l’obiettivo strategico: il settore della difesa in Russia e Bielorussia. L’attacco si basa principalmente sulla diffusione di allegati malevoli veicolati tramite e-mail di phishing, che sfruttano documenti militari come esca per convincere le vittime ad aprire file ZIP contenenti un file LNK e ulteriori archivi nascosti. Questa tecnica punta a ingannare operatori e personale militare, facendo leva sulla curiosità legata a documenti apparentemente riservati.

Catena di infezione multi-step

Una volta aperto il file LNK, viene attivata una catena di infezione multi-step che sfrutta comandi PowerShell come dropper iniziale. Questi script eseguono controlli anti-analisi per evitare l’esecuzione in ambienti sandbox e assicurarsi di operare su un sistema reale. Ad esempio, il malware verifica che siano presenti almeno 10 file LNK recenti e almeno 50 processi attivi, condizioni tipiche di una workstation utilizzata regolarmente. Se i requisiti non sono soddisfatti, il processo si interrompe, riducendo il rischio di essere individuato dai ricercatori.

Persistenza e comunicazione anonima

Uno degli aspetti più innovativi di Operation SkyCloak è l’uso combinato di OpenSSH e di un servizio Tor personalizzato per mantenere l’accesso remoto e garantire l’anonimato degli aggressori. Il malware installa una versione rinominata di sshd.exe per avviare un servizio SSH su Windows, accettando solo chiavi autorizzate già presenti sul sistema. Parallelamente, viene avviato un binario Tor modificato che crea un servizio nascosto .onion, con traffico oscurato dal protocollo obfs4, molto efficace nell’eludere i controlli di rete tradizionali e i sistemi di monitoraggio aziendali.

Il malware si occupa anche di esfiltrare informazioni di sistema e l’indirizzo .onion unico associato alla macchina infetta, inviando questi dati all’attaccante tramite un comando curl. In questo modo, il gruppo malevolo può accedere in modo anonimo ai sistemi compromessi sfruttando SSH, SFTP, RDP e SMB, con la possibilità di effettuare port forwarding di servizi critici attraverso la rete Tor. Questo garantisce pieno controllo remoto e anonimato agli operatori della minaccia.

Analogie tattiche e rischio per il settore difensivo

Gli esperti sottolineano che questa campagna presenta molteplici analogie tattiche con precedenti attività attribuite a gruppi di matrice est-europea, come UAC-0125, e rappresenta una seria minaccia per il settore difensivo e governativo grazie alle sue tecniche avanzate di persistenza e offuscamento delle comunicazioni.