Um grupo de hackers até então desconhecido, batizado de Armored Likho, está atacando simultaneamente órgãos governamentais e operadoras de energia elétrica no Brasil, na Rússia e no Cazaquistão. A campanha foi documentada pela Kaspersky em relatório publicado no início de julho e representa uma combinação rara de espionagem cibernética direcionada e roubo financeiro contra indivíduos — tudo em uma mesma operação.

O que é o Armored Likho

Armored Likho é um ator de ameaça persistente avançada (APT) recém-atribuído pela Kaspersky. O grupo mantém duas frentes de operação: espionagem cibernética contra organizações de governo e infraestrutura energética, e ataques financeiramente motivados contra pessoas físicas. A maioria dos grupos APT escolhe uma via — ou espiam ou roubam. Armored Likho faz os dois ao mesmo tempo, o que o torna mais difícil de classificar e de combater.

Há sobreposição significativa com um cluster de ameaças rastreado pela empresa russa BI.ZONE sob o nome Eagle Werewolf, ativo desde maio de 2023. Em fevereiro de 2026, esse mesmo grupo comprometeu um canal do Telegram focado em drones para distribuir o malware AquilaRAT por meio de um dropper em Rust disfarçado de checklist de ativação do Starlink.

Como o grupo invade sistemas

O ponto de entrada é o spear-phishing. Mensagens calibradas para cada alvo usam iscas variadas: notificações governamentais oficiais, formulários de auxílio humanitário e testes psicológicos. O anexo é um arquivo RAR contendo binários executáveis ou atalhos LNK do Windows que, ao serem abertos, exibem documentos falsos enquanto instalam malware em segundo plano.

Existem duas cadeias de infecção documentadas. Na primeira, um executável construído com NSIS injeta um loader na memória de um processo legítimo do Windows. Esse loader baixa componentes de um repositório do GitHub — incluindo versões de desenvolvimento do próprio malware — e extrai tudo em uma pasta chamada WindowsHelper dentro do AppData do usuário.

A segunda cadeia explora a vulnerabilidade CVE-2025-9491 (também conhecida como ZDI-CAN-25373), corrigida pela Microsoft em novembro de 2025. A falha permite que atalhos LNK ocultem argumentos de comando maliciosos usando espaços ou quebras de linha no campo de destino. O usuário vê um documento inofensivo enquanto o PowerShell baixa o loader em segundo plano.

Ambas as rotas terminam no mesmo lugar: o BusySnake Stealer, protegido com PyArmor Pro 9.2.0 e executado como arquivo .pyw sem janela de console.

BusySnake: o ladrão silencioso

BusySnake Stealer é um infostealer em Python que descodifica seu bytecode dinamicamente — somente no instante em que uma função é chamada, e criptografa novamente logo em seguida. Essa técnica dificulta análise estática e engana ferramentas de sandbox.

As capacidades documentadas pela The Hacker News e pela SecurityWeek incluem:

  • Monitoramento contínuo da área de transferência com log de timestamps
  • Captura de telas em intervalo definido pelo servidor de comando
  • Extração de senhas de navegadores Chromium e Firefox via DPAPI do Windows e NSS do Firefox
  • Roubo de cookies, chaves OTP e carteiras de criptomoedas (arquivos JSON)
  • Harvest de sessões e credenciais do Telegram
  • Criação de banco de dados SQLite local com inventário completo do sistema de arquivos
  • Busca por strings hexadecimais de 64 caracteres — formato típico de chaves privadas e API secrets
  • Exfiltração automática de documentos das pastas Desktop, Downloads e Documentos (até 5 MB)

A persistência é garantida por um script VBScript e uma tarefa agendada que reinicia o stealer a cada cinco minutos. Um mecanismo de lock-file não convencional evita detecção por enumeração padrão de processos.

Malware gerado por IA

Um detalhe que chamou a atenção dos pesquisadores da Kaspersky: o código-fonte dos loaders de primeiro estágio contém comentários verbosos e emojis de bullet points — um estilo de codificação sem precedentes em malware escrito por humanos. A análise indica que o grupo está usando modelos de linguagem para gerar os payloads iniciais, o que permite variar as técnicas de ataque rapidamente e dificulta a atribuição.

Segundo a Security Affairs, cada nova campanha pode parecer estruturalmente diferente da anterior sem exigir esforço significativo de desenvolvimento. Essa prática representa uma tendência crescente no cenário de ameaças: ferramentas de IA reduzem a barreira técnica para a criação de malware polimórfico.

O grupo também integrou funcionalidade de túnel reverso SSH diretamente no BusySnake. Antes, essa capacidade dependia do Go2Tunnel como ferramenta separada. Agora, o servidor de comando envia parâmetros e o stealer estabelece o túnel internamente, garantindo acesso remoto persistente e controle interativo sobre o sistema da vítima.

O impacto para o Brasil

O Brasil é um dos três países-alvo confirmados. Operadoras de energia elétrica e órgãos governamentais brasileiros figuram na lista de vítimas. O setor elétrico é infraestrutura crítica — um ataque bem-sucedido pode resultar em interrupção de serviço, manipulação de sistemas SCADA e exfiltração de dados operacionais sensíveis.

A ameaça se estende além das organizações-alvo direto. Funcionários dessas instituições que tiverem credenciais roubadas podem ver suas contas bancárias, e-mails pessoais e sessões do Telegram comprometidas. Dados como senhas de navegador, cookies e OTP codes são vendidos em mercados clandestinos por menos de US$ 1 por log em questão de horas, alimentando fraude downstream e ataques de ransomware de grupos não relacionados.

Como se proteger

Equipes de segurança de órgãos governamentais e empresas de energia no Brasil devem priorizar as seguintes ações:

  1. Corrigir CVE-2025-9491 imediatamente em todas as estações de trabalho Windows
  2. Auditar tarefas agendadas no sistema em busca de VBScripts suspeitos
  3. Monitorar tráfego de saída não usual, especialmente para GitHub e servidores desconhecidos
  4. Bloquear execução de arquivos LNK de fontes externas
  5. Ativar autenticação de dois fatores (2FA) em todas as contas corporativas e pessoais

Para usuários comuns que trabalham em organizações de governo ou energia, a orientação é direta: não abra anexos de e-mails não verificados, mantenha o Windows atualizado e ative 2FA em toda conta que contenha dinheiro ou dados pessoais. Essa camada simples neutraliza a maioria das senhas roubadas por stealers como o BusySnake.

Referências