A Kaspersky revelou nesta sexta-feira, 3 de julho de 2026, o grupo APT Armored Likho, até então desconhecido, que combina campanhas de espionagem cibernética contra órgãos governamentais e o setor elétrico com operações financeiramente motivadas. O grupo emprega um novo ladrão de informações em Python chamado BusySnake, distribuído por spear-phishing com iscas de comunicados oficiais, para roubar credenciais, cookies e dados de carteiras de criptomoedas.
Vetor de entrada por phishing
O ponto de partida da cadeia de ataque é um e-mail de spear-phishing que usa iscas relacionadas a comunicados governamentais ou programas sociais. A mensagem entrega um arquivo RAR contendo binários EXE que funcionam como droppers para payloads adicionais, incluindo o próprio BusySnake, recuperados de um repositório do GitHub controlado pelos atacantes. O dropper também cria dois arquivos VBScript responsáveis por apagar rastros da execução inicial e iniciar o stealer por meio de uma tarefa agendada.
Cadeias alternativas substituem o EXE por atalhos do Windows (LNK) que abusam de uma vulnerabilidade já corrigida — CVE-2025-9491, endereçada pela Microsoft em novembro de 2025. O atalho dispara um comando PowerShell ofuscado que exibe um documento decoy e prepara o ambiente para o carregamento do stealer.
O que o BusySnake faz
O BusySnake é um ladrão de informações escrito em Python, modular, que implementa múltiplas técnicas de evasão para dificultar a análise estática. Seu objetivo principal é estabelecer comunicação com um servidor de comando e controle (C2) e aguardar instruções. A tabela resume suas principais capacidades:
| Capacidade | Detalhe |
|---|---|
| Clipboard | Roubo do conteúdo da área de transferência |
| Captura de tela | Screenshots em intervalos definidos pelo C2, arquivados localmente |
| Documentos | Enumeração de arquivos e upload para o C2 |
| Criptomoedas | Coleta de arquivos de carteira com extensão JSON |
| Mensageiros | Extração de sessão e credenciais do Telegram |
| Navegadores | Roubo de cookies e senhas do Firefox e Chromium |
| Acesso remoto | Instalação do RustDesk e captura de credenciais digitadas |
| Túnel | Estabelecimento de túnel SSH reverso via Go2Tunnel |
O malware decripta seu bytecode apenas no instante exato em que uma função é chamada, retardando a análise por sandboxes e ferramentas automatizadas. Se o RustDesk já estiver instalado, o BusySnake inicia o software de área de trabalho remota e induz a vítima a digitar suas credenciais — que então são capturadas em screenshot e enviadas ao C2.
Conexão com Eagle Werewolf
A Kaspersky aponta sobreposições prováveis entre o Armored Likho e o cluster rastreado pela BI.ZONE sob o codinome Eagle Werewolf, ativo desde maio de 2023. Esse grupo tem histórico de mirar organizações governamentais e de defesa, em especial as envolvidas no desenvolvimento e fabricação de VANTs (drones), usando droppers, RATs e utilitários para estabelecer túneis SSH. Em fevereiro de 2026, o Eagle Werewolf foi observado comprometendo um canal do Telegram focado em drones para distribuir o AquilaRAT por meio de um dropper em Rust disfarçado de checklist de ativação do Starlink.
“Atores de ameaças podem usar canais do Telegram comprometidos para distribuir o malware”, alerta a BI.ZONE. A origem exata do Armored Likho permanece desconhecida.
Como endurecer as defesas
- Bloquear arquivos RAR e LNK recebidos por e-mail, sobretudo com iscas governamentais.
- Aplicar o patch de CVE-2025-9491 (novembro de 2025) em todos os endpoints Windows.
- Monitorar tarefas agendadas e arquivos VBScript criados em diretórios de usuário.
- Restringir execução de Python e scripts não assinados em estações de trabalho.
- Alertar sobre instalações não autorizadas de RustDesk e outros softwares de acesso remoto.
- Inspecionar conexões de saída para repositórios GitHub desconhecidos e servidores C2 suspeitos.