近年來，俄羅斯 GRU（軍事情報局）的 APT44／Sandworm 集團以其高度定制化的惡意軟體、活用合法工具的「living‑off‑the‑land」技術以及長期隱蔽滲透在全球網絡安全領域中備受關注。2024 年底至 2025 年上半年，該組織透過 OpenSSH for Windows 與 Tor Hidden Service（含 obfs4 拦截）進行後門設定，並在俄羅斯與白俄羅斯軍事機構中執行持續性的情報蒐集與入侵，成為「Operation SkyCloak」攻擊案例的典型代表（Rescana, 2025）。以下將就其攻擊流程、技術細節與對策進行詳盡剖析。

1. 攻擊概覽

Operation SkyCloak 的攻擊目標為「國防及軍事系統」，攻擊者先以高定制化的釣魚郵件（含 AI 生成的文件）贏取目標機構使用者的下載權限，隨後以 Canvas→NSIS 安裝程式進行自動化部署（HelpNetSecurity, 2025）。安裝程式將 PowerShell 腳本寫入 Scheduled Tasks，以確保惡意程式在重新啟動後仍可自動執行；同時核心後門則是利用 OpenSSH for Windows 於 Windows 內部創建一個伺服器，並將其曝光為 Tor Hidden Service，提供 SSH、RDP、SFTP 與 SMB 的匿名遠端接入（GBHackers, 2025）。

關鍵技術手段

• OpenSSH for Windows：在本地部屬完畢後，惡意程式即於指定埠號啟動 OpenSSH 伺服器，並產生與外部通訊所需的 RSA 金鑰組（以預生成關鍵來降低被掌握的風險，See Cyble, 2025）。
• Tor Hidden Service + obfs4：利用 Tor 的隱藏服務 API（Socks5 層）配合 obfs4 可攔截協定，為攻擊者提供在“匿名”網路下的持久隱蔽通訊管道（Rescana, 2025）。
• 自動化的 Persistent Schedule：透過 Task Scheduler 與 PowerShell 週期執行腳本，確保惡意程式即使被關閉也能在後台重新啟動（HelpNetSecurity, 2025）。
• Advanced Evasion Layer：惡意程式使用嵌套 ZIP、.LNK 伪裝，加入 anti‑sandbox 檢查，並避免常見病毒掃描（GBHackers, 2025）。
• 局域網掃描與整合：惡意程式會定時掃描本地網絡，蒐集開放埠號與服務 Banner，以擴散至同一網段內的其他主機（Rescana, 2025）。

2. 威脅行為者特徵與作戰動機

由於高度定制化且目標盡量經下對其相符的資訊，行為模式顯著符合 APT44（UAC‑0125）與 74455 單位的特徵（Wikipedia, 2025）。該單位以俄國戰略利益為核心，擅長「情報蒐集、破壞以及長期進入」的多層作戰；Chaos 亦曾透過 2015–2016 年的烏克蘭電力網攻擊和 NotPetya 勒索軟體斥資破局，展示了對民產與軍備系統的極大威脅性（Wikipedia, 2025）。

3. 防護與對策

以下為可以採取的多層保護措施：

檢測要點

• 分析 NETSTAT outputs，找出非預期的 OpenSSH 埠（可靠屬於 22/F5/Tor hidden service 端口）。
• 對任何可疑的 RSA key 檔案進行 hash 確認與對應公開 ciphers。
  （若發現任意 1024/2048 位長的 RSA 金鑰生成過程，则視為潜在攻擊。）
• 分析 PowerShell 事件日誌，看是否存在「Set‑ExecutionPolicy」或「Invoke‑Expression」之類的不常見命令。
• 檢驗是否存在多層壓縮、.LNK 文件指向惡意 URL。

4. 近年發展趨勢

與 2024 年底 Army+ 針對部隊的偽裝惡意安裝程式相比，SkyCloak 進一步加強了 obfs4 加密與預生成 RSA 金鑰等防偵進化，顯示 APT44 在「持續渗透」方面的高度擴張（Rescana, 2025）。此外，CI 調查指出，攻擊者已經能夠靈活調換 pluggable transport 與 SSHD，甚至在俄國與白俄國軍事單位使用上述技術（GBHackers, 2025）。這些觀測證實了其「不斷優化並利用合法工具」的持續技術優勢。

5. 結論

Operation SkyCloak 以 OpenSSH、Tor hidden service，以及僵化的持久化策略結合探討了 APT44/TTP 的先進雜訊與保安迴避。對於任何涉及國防或軍事資訊的機構來說，檢測並阻斷該類範疇的網路流量與行為即刻重要。結合多層防護、即時行為分析與定