A Kaspersky revelou nesta sexta-feira, 3 de julho de 2026, o grupo APT Armored Likho, até então desconhecido, que combina campanhas de espionagem cibernética contra órgãos governamentais e o setor elétrico com operações financeiramente motivadas. O grupo emprega um novo ladrão de informações em Python chamado BusySnake, distribuído por spear-phishing com iscas de comunicados oficiais, para roubar credenciais, cookies e dados de carteiras de criptomoedas.

Vetor de entrada por phishing

O ponto de partida da cadeia de ataque é um e-mail de spear-phishing que usa iscas relacionadas a comunicados governamentais ou programas sociais. A mensagem entrega um arquivo RAR contendo binários EXE que funcionam como droppers para payloads adicionais, incluindo o próprio BusySnake, recuperados de um repositório do GitHub controlado pelos atacantes. O dropper também cria dois arquivos VBScript responsáveis por apagar rastros da execução inicial e iniciar o stealer por meio de uma tarefa agendada.

Cadeias alternativas substituem o EXE por atalhos do Windows (LNK) que abusam de uma vulnerabilidade já corrigida — CVE-2025-9491, endereçada pela Microsoft em novembro de 2025. O atalho dispara um comando PowerShell ofuscado que exibe um documento decoy e prepara o ambiente para o carregamento do stealer.

O que o BusySnake faz

O BusySnake é um ladrão de informações escrito em Python, modular, que implementa múltiplas técnicas de evasão para dificultar a análise estática. Seu objetivo principal é estabelecer comunicação com um servidor de comando e controle (C2) e aguardar instruções. A tabela resume suas principais capacidades:

Capacidade Detalhe
Clipboard Roubo do conteúdo da área de transferência
Captura de tela Screenshots em intervalos definidos pelo C2, arquivados localmente
Documentos Enumeração de arquivos e upload para o C2
Criptomoedas Coleta de arquivos de carteira com extensão JSON
Mensageiros Extração de sessão e credenciais do Telegram
Navegadores Roubo de cookies e senhas do Firefox e Chromium
Acesso remoto Instalação do RustDesk e captura de credenciais digitadas
Túnel Estabelecimento de túnel SSH reverso via Go2Tunnel

O malware decripta seu bytecode apenas no instante exato em que uma função é chamada, retardando a análise por sandboxes e ferramentas automatizadas. Se o RustDesk já estiver instalado, o BusySnake inicia o software de área de trabalho remota e induz a vítima a digitar suas credenciais — que então são capturadas em screenshot e enviadas ao C2.

Conexão com Eagle Werewolf

A Kaspersky aponta sobreposições prováveis entre o Armored Likho e o cluster rastreado pela BI.ZONE sob o codinome Eagle Werewolf, ativo desde maio de 2023. Esse grupo tem histórico de mirar organizações governamentais e de defesa, em especial as envolvidas no desenvolvimento e fabricação de VANTs (drones), usando droppers, RATs e utilitários para estabelecer túneis SSH. Em fevereiro de 2026, o Eagle Werewolf foi observado comprometendo um canal do Telegram focado em drones para distribuir o AquilaRAT por meio de um dropper em Rust disfarçado de checklist de ativação do Starlink.

“Atores de ameaças podem usar canais do Telegram comprometidos para distribuir o malware”, alerta a BI.ZONE. A origem exata do Armored Likho permanece desconhecida.

Como endurecer as defesas

  • Bloquear arquivos RAR e LNK recebidos por e-mail, sobretudo com iscas governamentais.
  • Aplicar o patch de CVE-2025-9491 (novembro de 2025) em todos os endpoints Windows.
  • Monitorar tarefas agendadas e arquivos VBScript criados em diretórios de usuário.
  • Restringir execução de Python e scripts não assinados em estações de trabalho.
  • Alertar sobre instalações não autorizadas de RustDesk e outros softwares de acesso remoto.
  • Inspecionar conexões de saída para repositórios GitHub desconhecidos e servidores C2 suspeitos.

Fontes