Grupo de Hackers Leek Likho Utiliza IA para Atacar Organizações Russas
O grupo de hackers Leek Likho, também conhecido como SkyCloak e Vortex Werewolf, está intensificando seus ataques a organizações russas, empregando Inteligência Artificial (IA) para gerar scripts maliciosos e artefatos sob medida. A Kaspersky Lab relata que a tática envolve engenharia social via Telegram, arquivos maliciosos disfarçados e o uso de ferramentas legítimas para comprometer sistemas.
MundiX News·19 de maio de 2026·3 min de leitura·👁 6 views
Recomendamos a leitura:
Hacker #324. Tudo sobre modelos
Conteúdo da edição
Assinatura do "Hacker"
-60%
O grupo Leek Likho (também conhecido como SkyCloak e Vortex Werewolf) continua a atacar organizações russas e está usando cada vez mais IA em suas operações. Como relatam os pesquisadores da Kaspersky Lab, em novas campanhas, os invasores estão usando grandes modelos de linguagem para gerar scripts maliciosos, nomes de arquivos e vários artefatos para fins específicos.
De acordo com os pesquisadores, a atividade do grupo continua desde pelo menos 2025. As principais vítimas dos hackers continuam sendo organizações russas do setor público, mas empresas industriais e de construção também são atacadas. Ao mesmo tempo, o esquema geral de comprometimento quase não mudou: Leek Likho ainda aposta em engenharia social, carregamento em várias etapas e o uso de ferramentas legítimas como Tor, OpenSSH e rclone.
O acesso inicial, os invasores geralmente obtêm usando esquemas de engenharia social no Telegram. Eles mascaram a entrega de conteúdo malicioso sob mecanismos legítimos de compartilhamento de arquivos, como links que imitam páginas de download de arquivos no Telegram. Em alguns casos, eles enviam um link para o serviço de compartilhamento de arquivos Dropbox.
Depois de clicar em tal link, o usuário baixa um arquivo, que no arquivador embutido do Windows se parece com um documento PDF comum (por exemplo, "ordem de incentivo" ou "apresentação para nomeação"). No entanto, na verdade, dentro está um arquivo LNK com uma extensão dupla (por exemplo, Proekt_prikaza_681_o_pooshchrenii.pdf.lnk).
Se você abrir esse arquivo, uma cadeia de scripts do PowerShell será executada. Primeiro, o malware descompacta o segundo arquivo aninhado com um conjunto de ferramentas mascaradas como aplicativos populares. Os pesquisadores encontraram componentes renomeados do Tor e OpenSSH lá: datagrip.exe na verdade acabou sendo um cliente Tor, messenger.exe - sshd.exe, e reaper.exe - sftp.exe.
Depois disso, tarefas ocultas do agendador do Windows são criadas no sistema para garantir o acesso e o Tor com túneis SSH é iniciado. Através deles, os invasores obtêm acesso remoto à máquina infectada. Para exfiltração de dados, o grupo usa uma versão renomeada do rclone. Além disso, o malware coleta separadamente o conteúdo de unidades USB, copiando dados de pen drives e discos rígidos externos conectados.
Atenção especial no relatório, os pesquisadores prestam atenção aos sinais de uso de IA. Para cada vítima, Leek Likho cria uma nova versão de arquivos de isca e scripts maliciosos. Os nomes mudam minimamente - por exemplo, apenas o número da "ordem" é diferente - mas os próprios scripts são ligeiramente diferentes cada vez. Os nomes das variáveis são alterados no código, operações individuais são implementadas de maneiras diferentes e, às vezes, ações sem sentido são adicionadas que não afetam o resultado do malware.
Ao mesmo tempo, o código não parece tipicamente ofuscado: as variáveis têm nomes significativos e a estrutura permanece legível. Segundo especialistas, essas características indicam a geração de scripts usando LLM. Essa abordagem ajuda o grupo a contornar a detecção de assinatura e dificulta a busca de componentes maliciosos no sistema.
Outra característica da campanha estudada pelos pesquisadores é o uso do Tor com transporte obfs4 e túneis SSH para ocultar a atividade da rede. A Kaspersky Lab observa que, apesar das constantes mudanças na infraestrutura e nas ferramentas, o comportamento do grupo permanece bastante reconhecível para soluções da classe Detection and Response.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Recomendamos a leitura:
Hacker #324. Tudo sobre modelos
Conteúdo da edição
Assinatura do "Hacker"
-60%
O grupo Leek Likho (também conhecido como SkyCloak e Vortex Werewolf) continua a atacar organizações russas e está usando cada vez mais IA em suas operações. Como relatam os pesquisadores da Kaspersky Lab, em novas campanhas, os invasores estão usando grandes modelos de linguagem para gerar scripts maliciosos, nomes de arquivos e vários artefatos para fins específicos.
De acordo com os pesquisadores, a atividade do grupo continua desde pelo menos 2025. As principais vítimas dos hackers continuam sendo organizações russas do setor público, mas empresas industriais e de construção também são atacadas. Ao mesmo tempo, o esquema geral de comprometimento quase não mudou: Leek Likho ainda aposta em engenharia social, carregamento em várias etapas e o uso de ferramentas legítimas como Tor, OpenSSH e rclone.
O acesso inicial, os invasores geralmente obtêm usando esquemas de engenharia social no Telegram. Eles mascaram a entrega de conteúdo malicioso sob mecanismos legítimos de compartilhamento de arquivos, como links que imitam páginas de download de arquivos no Telegram. Em alguns casos, eles enviam um link para o serviço de compartilhamento de arquivos Dropbox.
Depois de clicar em tal link, o usuário baixa um arquivo, que no arquivador embutido do Windows se parece com um documento PDF comum (por exemplo, "ordem de incentivo" ou "apresentação para nomeação"). No entanto, na verdade, dentro está um arquivo LNK com uma extensão dupla (por exemplo, Proekt_prikaza_681_o_pooshchrenii.pdf.lnk).
Se você abrir esse arquivo, uma cadeia de scripts do PowerShell será executada. Primeiro, o malware descompacta o segundo arquivo aninhado com um conjunto de ferramentas mascaradas como aplicativos populares. Os pesquisadores encontraram componentes renomeados do Tor e OpenSSH lá: datagrip.exe na verdade acabou sendo um cliente Tor, messenger.exe - sshd.exe, e reaper.exe - sftp.exe.
Depois disso, tarefas ocultas do agendador do Windows são criadas no sistema para garantir o acesso e o Tor com túneis SSH é iniciado. Através deles, os invasores obtêm acesso remoto à máquina infectada. Para exfiltração de dados, o grupo usa uma versão renomeada do rclone. Além disso, o malware coleta separadamente o conteúdo de unidades USB, copiando dados de pen drives e discos rígidos externos conectados.
Atenção especial no relatório, os pesquisadores prestam atenção aos sinais de uso de IA. Para cada vítima, Leek Likho cria uma nova versão de arquivos de isca e scripts maliciosos. Os nomes mudam minimamente - por exemplo, apenas o número da "ordem" é diferente - mas os próprios scripts são ligeiramente diferentes cada vez. Os nomes das variáveis são alterados no código, operações individuais são implementadas de maneiras diferentes e, às vezes, ações sem sentido são adicionadas que não afetam o resultado do malware.
Ao mesmo tempo, o código não parece tipicamente ofuscado: as variáveis têm nomes significativos e a estrutura permanece legível. Segundo especialistas, essas características indicam a geração de scripts usando LLM. Essa abordagem ajuda o grupo a contornar a detecção de assinatura e dificulta a busca de componentes maliciosos no sistema.
Outra característica da campanha estudada pelos pesquisadores é o uso do Tor com transporte obfs4 e túneis SSH para ocultar a atividade da rede. A Kaspersky Lab observa que, apesar das constantes mudanças na infraestrutura e nas ferramentas, o comportamento do grupo permanece bastante reconhecível para soluções da classe Detection and Response.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
