O grupo de ameaça persistente avançada (APT) Armored Likho está conduzindo uma campanha de phishing que visa agências governamentais e o setor de energia elétrica no Brasil, na Rússia e no Cazaquistão, conforme revelou ontem a Kaspersky em relatório técnico. O grupo está utilizando uma ferramenta até então não documentada, batizada de BusySnake Stealer, um infostealer baseado em Python projetado para sistemas Windows, que substitui ferramentas anteriormente usadas pelo grupo e integra funcionalidades de tunelamento reverso SSH.
Vetor de infecção e iscas
A campanha utiliza e-mails de spear-phishing com temas que variam de avisos oficiais do governo a programas sociais, distribuindo anexos maliciosos dentro de arquivos compactados com nomes como “teste psicológico” ou “solicitação de ajuda humanitária”. Esses arquivos contêm executáveis ou atalhos LNK que, quando abertos, disparam o processo de infecção. Em uma das variantes, o arquivo executável é um dropper que, após executar um aplicativo isca (um questionário psicológico falso), baixa e instala os componentes do BusySnake Stealer. Em outra, o atalho LNK explora uma vulnerabilidade de ocultação de parâmetros (ZDI-CAN-25373) para executar comandos PowerShell que baixam o loader malicioso.
Funcionamento do BusySnake Stealer
O BusySnake Stealer é ofuscado e criptografado com PyArmor Pro versão 9.2.0, descriptografando seu código apenas no momento da execução. O malware possui múltiplos handlers para funções como roubo de área de transferência, captura de telas, enumeração de arquivos, extração de chaves de 64 caracteres e exfiltração de documentos. Quando recebe comandos do servidor C2, o stealer pode extrair senhas de navegadores Chromium e Firefox, coletar cookies (inclusive via instalação de extensão maliciosa no navegador), roubar chaves de autenticação de dois fatores (2FA), coletar dados de carteiras de criptomoedas e Telegram, e estabelecer túneis SSH reversos para acesso remoto persistente. Uma versão mais recente do malware inclui melhorias como execução de scripts Python arbitrários em memória (sem gravação em disco) e um sistema de gerenciamento de tarefas com status operacionais.
Atribuição e alvos
A Kaspersky atribui a campanha ao Armored Likho com confiança média, baseando-se em sobreposições estruturais com ferramentas anteriores do grupo, como o AquilaRAT e o Go2Tunnel. O grupo utiliza IA para gerar payloads de primeiro estágio, como indicam comentários redundantes e blocos de código com emojis no código-fonte dos loaders. Os alvos confirmados incluem órgãos governamentais e infraestrutura elétrica na Rússia, Cazaquistão e Brasil. O grupo permanece altamente ativo, com evoluções constantes em suas táticas e malwares.






