Um agente de ameaça até então não documentado, identificado como Armored Likho, foi atribuído a ataques cibernéticos contra órgãos governamentais e o setor de energia elétrica na Rússia, no Brasil e no Cazaquistão.
“Armored Likho combina campanhas motivadas financeiramente, voltadas a indivíduos, com operações de espionagem cibernética direcionadas a organizações”, afirmou a Kaspersky em uma análise técnica publicada hoje.
“Seu kit de ferramentas inclui RATs ofuscados e modulares e infostealers desenvolvidos especificamente para burlar a análise dinâmica.”
Os ataques também se caracterizam pelo uso de ferramentas como Go2Tunnel para acesso remoto e tunelamento de rede.
A ampla variedade de recursos em seu arsenal permite ao agente de ameaça manter acesso persistente a sistemas comprometidos, roubar credenciais e dados sensíveis e entregar dinamicamente módulos adaptados ao perfil da vítima.
A empresa russa de cibersegurança informou que Armored Likho apresenta possíveis sobreposições com um cluster de ameaças monitorado pela BI.ZONE sob o nome Eagle Werewolf, ativo desde maio de 2023.
O grupo de hackers tem histórico de mirar organizações governamentais e de defesa, especialmente as envolvidas no desenvolvimento e na fabricação de UAVs, utilizando droppers, remote access trojans (RATs) e utilitários para estabelecer túneis SSH.
“Os agentes de ameaça podem usar canais comprometidos no Telegram para distribuir o malware”, observa a BI.ZONE em sua descrição do grupo.
“Embora a principal motivação seja a espionagem cibernética, também foram registradas campanhas voltadas ao roubo de fundos das vítimas.”
Em fevereiro de 2026, o Eagle Werewolf foi observado comprometendo um canal do Telegram voltado a drones para distribuir AquilaRAT por meio de um dropper em Rust disfarçado de lista de verificação para ativação de dispositivos Starlink.
Também é usado nos ataques um recurso conhecido como Go2Tunnel para estabelecer um túnel SSH reverso até um servidor de comando e controle (C2) usando uma chave privada.
As descobertas mais recentes mostram que o agente de ameaça também empregou um infostealer inédito em Python, chamado BusySnake Stealer, com foco em sistemas Windows.
Uma de suas versões inclui um módulo para roubar cookies de navegadores.
As origens exatas de Armored Likho ainda são desconhecidas.
O ponto de partida da cadeia de ataque é um email de spear phishing que usa iscas relacionadas a comunicados oficiais do governo ou programas sociais para distribuir um arquivo RAR contendo binários EXE que atuam como droppers para payloads adicionais obtidos de um repositório no GitHub, incluindo o payload do stealer.
O malware dropper também cria dois arquivos Visual Basic Script (VBScript) responsáveis por apagar rastros da execução inicial e por iniciar o stealer por meio de uma tarefa agendada.
Cadeias alternativas usam atalhos do Windows (LNK) em vez de payloads EXE e exploram uma vulnerabilidade já corrigida relacionada à forma como o Windows processa esse tipo de arquivo, resultando em execução remota de código.
A falha, identificada como
CVE-2025-9491
, também conhecida como ZDI-CAN-25373, foi corrigida pela Microsoft nas atualizações do Patch Tuesday de novembro de 2025.
Evidências encontradas pela Trend Micro no ano passado mostraram que a falha vinha sendo explorada por uma dúzia de grupos de hackers desde 2017.
Na cadeia de ataque documentada pela Kaspersky, a vulnerabilidade do atalho é abusada para disparar a execução de um comando PowerShell ofuscado, que inicia um loader responsável por exibir um documento isca, enquanto prepara o ambiente para a execução do stealer em Python.
Em seguida, o malware estabelece persistência por meio da combinação de um arquivo VBScript e uma tarefa agendada, como antes.
O stealer, chamado BusySnake, implementa múltiplas técnicas de evasão para dificultar a análise estática e escapar da detecção.
Seu objetivo principal é estabelecer comunicação com um servidor C2 e aguardar instruções.
Ele também oferece as seguintes funções:
• roubar dados da área de transferência do sistema;
• enumerar arquivos em todo o sistema e registrar seus metadados em um banco de dados local;
• enviar documentos do usuário ao servidor C2;
• capturar capturas de tela e armazená-las em um diretório local;
• compactar as capturas de tela obtidas e remover do disco arquivos compactados criados anteriormente;
• impedir que várias instâncias do stealer sejam executadas ao mesmo tempo no host infectado;
• garantir persistência verificando se a tarefa agendada existe e, caso contrário, criar um VBScript para registrar uma nova tarefa agendada.
Além disso, os comandos emitidos pelo servidor C2 permitem que ele faça capturas de tela em intervalos definidos, registre teclas digitadas, colete arquivos de carteiras de criptomoedas com extensão JSON, reúna dados de sessão e credenciais do Telegram, estabeleça um túnel SSH reverso usando Go2Tunnel, instale o RustDesk e extraia cookies do Mozilla Firefox e de navegadores baseados em Chromium, além de senhas.
Se o RustDesk já estiver instalado na máquina, o software de área de trabalho remota open source é iniciado e a vítima é solicitada a inserir suas credenciais.
Em seguida, o stealer captura uma imagem da tela com as credenciais e a exfiltra para o servidor C2.
“O malware descriptografa dinamicamente seu bytecode apenas no exato momento em que uma função é chamada, criptografando os dados novamente imediatamente depois”, disse a Kaspersky.
“Além disso, o malware opera em segundo plano sem abrir uma janela de console, como indica sua extensão de arquivo PYW.”
A Kaspersky afirmou também ter identificado uma versão mais recente do BusySnake, que evolui o design arquitetural da anterior para incluir uma nova estrutura de gerenciamento de tarefas capaz de lidar com comandos recebidos do C2 e atribuir dinamicamente a eles estados operacionais, como SCHEDULED, IN_PROGRESS, SUCCEEDED ou FAILED, melhorando o retorno de informações ao servidor.
Os vínculos do agente de ameaça com o Eagle Werewolf também decorrem de semelhanças entre AquilaRAT e BusySnake Stealer, especialmente na forma como ambas as famílias de malware recebem tarefas do servidor C2, registram persistência por meio de tarefas agendadas e usam endpoints semelhantes para comunicação com o C2.
Há ainda sinais de que os payloads da primeira etapa, compostos por loaders e stagers, provavelmente foram gerados com apoio de ferramentas de inteligência artificial (AI), devido à presença de comentários redundantes e blocos de código desnecessários.
“Essa campanha destaca várias tendências simultâneas: a crescente maturidade técnica do Armored Likho, o polimorfismo de ferramentas e uma mudança para esquemas mais complexos voltados a burlar soluções de segurança, desde a ofuscação do código-fonte em Python até a incorporação de mecanismos de rede diretamente no código do malware”, afirmou a Kaspersky.
“Em paralelo, o grupo está refinando e modificando agressivamente seu kit principal.
Embora o Go2Tunnel antes operasse como um utilitário independente, sua funcionalidade de tunelamento reverso agora foi integrada diretamente ao stealer como um recurso nativo que recebe parâmetros do servidor C2.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...