Acabei criando um script wrapper para o openconnect, que carrega a senha e canaliza para o stdin do daemon openconnect, IOW:
#!/bin/bash PASSWD='/bin/cat /etc/openconnect/passwd' /bin/echo $PASSWD | /usr/sbin/openconnect $@
E o start-stop-daemon invoca este wrapper em vez do openconnect.