Grupo Armored Likho Ataca Setor Público e Energia com Novo Malware BusySnake
Especialistas da Kaspersky identificaram uma campanha ativa de ciberataques direcionada a organizações governamentais e empresas de energia. O grupo, possivelmente conhecido como Armored Likho ou Eagle Werewolf, utiliza táticas de phishing e um novo malware 'stealer' chamado BusySnake para roubar dados sensíveis.
MundiX News·08 de julho de 2026·4 min de leitura·👁 1 views
Especialistas da Kaspersky descobriram uma campanha de malware ativa visando organizações governamentais e empresas do setor de energia. Os atacantes estão enviando e-mails de phishing com iscas como testes psicológicos e solicitações de ajuda humanitária para infectar sistemas Windows com um novo malware 'stealer' chamado BusySnake. As atividades do grupo foram detectadas na Rússia, Cazaquistão e Brasil. Pesquisadores, com um grau moderado de confiança, associam essa campanha a um grupo anteriormente desconhecido, apelidado de Armored Likho, que também pode ser conhecido como Eagle Werewolf. Além de espionagem cibernética, o grupo também realiza ataques com motivação financeira contra usuários privados.
O vetor inicial de invasão varia de acordo com a 'lenda' escolhida pelos hackers. Os criminosos anexavam arquivos compactados com executáveis ou atalhos maliciosos LNK às mensagens, cujos nomes correspondiam ao tema do e-mail. Em um caso, a vítima foi convidada a executar um aplicativo com uma pesquisa psicológica; em outro, a abrir um documento sobre assistência humanitária ou ausência de dívidas. Enquanto o usuário examinava a isca, um downloader adquiria componentes adicionais e implantava o 'stealer' BusySnake no sistema da vítima. O malware se estabelece no sistema por meio de uma tarefa agendada, que o executa a cada cinco minutos. Em alguns ataques, os hackers também exploraram uma vulnerabilidade em atalhos (ZDI-CAN-25373), que permitia ocultar parâmetros de inicialização com espaços e quebras de linha.
O BusySnake é escrito em Python e opera em segundo plano. O código do BusySnake é protegido pelo PyArmor: o bytecode das funções é descriptografado apenas no momento da chamada e, em seguida, os dados são criptografados novamente. Os carregadores de primeira etapa, com base na estrutura do código, parecem ter sido gerados por IA, indicados por comentários excessivos e emojis, raramente encontrados em malware escrito manualmente. Em uma máquina infectada, o 'stealer' rouba dados da área de transferência, tira capturas de tela, coleta documentos do usuário e extrai senhas e cookies de navegadores Firefox e baseados em Chromium. Além disso, o malware procura segredos OTP, arquivos de carteiras de criptomoedas e dados do Telegram do diretório tdata. Os operadores do malware também podem enviar comandos adicionais de um servidor de controle. Notavelmente, o BusySnake pode estabelecer um túnel SSH reverso, instalar o RustDesk para controle remoto do sistema e executar scripts Python arbitrários diretamente na memória. Os pesquisadores observaram várias versões do malware, bem como um módulo separado que instala uma extensão de navegador especial para roubar cookies.
A ligação entre os ataques descobertos e o Armored Likho foi estabelecida com base na semelhança com ferramentas anteriores do grupo. Por exemplo, anteriormente os hackers usavam uma utilidade separada, Go2Tunnel, para criar túneis SSH reversos, e agora essa funcionalidade foi incorporada ao BusySnake. Além disso, a arquitetura do 'stealer' é semelhante ao trojan AquilaRAT, pois ambos os malwares recebem tarefas de um servidor de controle, e a execução é realizada por manipuladores especiais. Os pesquisadores alertam que esta campanha continua ativa. De acordo com especialistas, o Armored Likho está atualmente aprimorando o BusySnake, tornando sua detecção mais difícil e experimentando novas formas de entrega de malware.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da Kaspersky descobriram uma campanha de malware ativa visando organizações governamentais e empresas do setor de energia. Os atacantes estão enviando e-mails de phishing com iscas como testes psicológicos e solicitações de ajuda humanitária para infectar sistemas Windows com um novo malware 'stealer' chamado BusySnake. As atividades do grupo foram detectadas na Rússia, Cazaquistão e Brasil. Pesquisadores, com um grau moderado de confiança, associam essa campanha a um grupo anteriormente desconhecido, apelidado de Armored Likho, que também pode ser conhecido como Eagle Werewolf. Além de espionagem cibernética, o grupo também realiza ataques com motivação financeira contra usuários privados.
O vetor inicial de invasão varia de acordo com a 'lenda' escolhida pelos hackers. Os criminosos anexavam arquivos compactados com executáveis ou atalhos maliciosos LNK às mensagens, cujos nomes correspondiam ao tema do e-mail. Em um caso, a vítima foi convidada a executar um aplicativo com uma pesquisa psicológica; em outro, a abrir um documento sobre assistência humanitária ou ausência de dívidas. Enquanto o usuário examinava a isca, um downloader adquiria componentes adicionais e implantava o 'stealer' BusySnake no sistema da vítima. O malware se estabelece no sistema por meio de uma tarefa agendada, que o executa a cada cinco minutos. Em alguns ataques, os hackers também exploraram uma vulnerabilidade em atalhos (ZDI-CAN-25373), que permitia ocultar parâmetros de inicialização com espaços e quebras de linha.
O BusySnake é escrito em Python e opera em segundo plano. O código do BusySnake é protegido pelo PyArmor: o bytecode das funções é descriptografado apenas no momento da chamada e, em seguida, os dados são criptografados novamente. Os carregadores de primeira etapa, com base na estrutura do código, parecem ter sido gerados por IA, indicados por comentários excessivos e emojis, raramente encontrados em malware escrito manualmente. Em uma máquina infectada, o 'stealer' rouba dados da área de transferência, tira capturas de tela, coleta documentos do usuário e extrai senhas e cookies de navegadores Firefox e baseados em Chromium. Além disso, o malware procura segredos OTP, arquivos de carteiras de criptomoedas e dados do Telegram do diretório tdata. Os operadores do malware também podem enviar comandos adicionais de um servidor de controle. Notavelmente, o BusySnake pode estabelecer um túnel SSH reverso, instalar o RustDesk para controle remoto do sistema e executar scripts Python arbitrários diretamente na memória. Os pesquisadores observaram várias versões do malware, bem como um módulo separado que instala uma extensão de navegador especial para roubar cookies.
A ligação entre os ataques descobertos e o Armored Likho foi estabelecida com base na semelhança com ferramentas anteriores do grupo. Por exemplo, anteriormente os hackers usavam uma utilidade separada, Go2Tunnel, para criar túneis SSH reversos, e agora essa funcionalidade foi incorporada ao BusySnake. Além disso, a arquitetura do 'stealer' é semelhante ao trojan AquilaRAT, pois ambos os malwares recebem tarefas de um servidor de controle, e a execução é realizada por manipuladores especiais. Os pesquisadores alertam que esta campanha continua ativa. De acordo com especialistas, o Armored Likho está atualmente aprimorando o BusySnake, tornando sua detecção mais difícil e experimentando novas formas de entrega de malware.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.