Ator Armored Likho Implanta Stealer BusySnake Contra Setor Energético e Governamental

Ator Armored Likho Implanta Stealer BusySnake Contra Setor Energético e Governamental

Campanha de ciberespionagem e crime financeiro atinge alvos no Brasil, Rússia e Cazaquistão utilizando túneis reversos de SSH, evasão dinâmica e abuso de software de suporte remoto legítimo.

ComponenteAmeaça Armored Likho, cluster Eagle Werewolf, infostealer BusySnake, RAT AquilaRAT, utilitário Go2Tunnel, droppers baseados em Rust e scripts de persistência em VBScript. Exploração de atalhos do Windows.
VetorSpear-phishing com iscas governamentais, entrega de arquivos RAR contendo executáveis, abuso da falha CVE-2025-9491 em atalhos LNK, droppers disfarçados de ferramentas de ativação e compilação de payloads via repositórios.
ImpactoRoubo de credenciais através de captura de tela em software de suporte legítimo, enumeração de arquivos e metadados, estabelecimento de comunicação C2 oculta via SSH reverso e manutenção de acesso persistente.
PrioridadeBloqueio de tarefas agendadas suspeitas criadas via VBScript, monitoramento da execução silenciosa de binários Python, restrição de túneis SSH não autorizados e inspeção de tráfego de saída.
Resumo técnico

Um ator de ameaças rastreado sob o nome de Armored Likho tem sido associado a uma série de incidentes cibernéticos que visam o setor de geração de energia elétrica e agências governamentais no Brasil, Rússia e Cazaquistão. A campanha demonstra uma abordagem operacional dupla e complexa, unindo campanhas movidas por motivações financeiras contra indivíduos com operações de ciberespionagem altamente direcionadas a infraestruturas críticas. A análise dos artefatos indica que o grupo utiliza uma cadeira de ferramentas modular, fortemente ofuscada e projetada para evitar a detecção em ambientes de análise dinâmica.

As investigações apontam fortes sobreposições entre a infraestrutura e as táticas do Armored Likho com o cluster de ameaças rastreado pela comunidade de segurança sob o codinome Eagle Werewolf, ativo desde meados de 2023. Este grupo tem histórico consolidado de mira em organizações de defesa e desenvolvimento de veículos aéreos não tripulados. A conexão técnica é sustentada pelo compartilhamento de endpoints de comunicação semelhantes e técnicas idênticas de recepção de tarefas via servidores de comando e controle. Notavelmente, análises de código revelaram a presença de blocos redundantes e comentários excessivamente explicativos nos carregadores iniciais, sugerindo fortemente que o ator tem empregado ferramentas de inteligência artificial para acelerar o desenvolvimento de códigos maliciosos.

Fluxo técnico

O цикlo de ataque se inicia com e-mails de spear-phishing que utilizam iscas cuidadosamente construídas, simulando comunicados oficiais de governos ou programas sociais de assistência. Anexos maliciosos no formato RAR são entregues às vítimas, contendo binários executáveis ou atalhos do Windows. Os binários atuam como transmissores (droppers) responsáveis por buscar cargas úteis adicionais diretamente de repositórios remotos, instalando o payload principal de roubo de informações no host comprometido.

Uma variante do fluxo de ataque substitui os executáveis em favor de atalhos do Windows (LNK). Esses atalhos foramDVURAMENTE construídos para explorar a vulnerabilidade rastreada como CVE-2025-9491, uma falha de execução remota de código no tratamento de atalhos pelo sistema operacional que foi corrigida pela Microsoft nas atualizações de segurança de novembro de 2025. O acionamento do atalho defeituoso executa comandos PowerShell altamente ofuscados, que preparam o ambiente e injetam o infostealer. Durante esse processo, um documento decoy é exibido na tela do usuário para mascarar a atividade maliciosa em segundo plano.

Para garantir persistência no ambiente, o malware desengaça um par de scripts Visual Basic responsáveis por limpar rastros forenses da execução inicial e criar uma tarefa agendada no sistema operacional. O módulo central, chamado de BusySnake, opera com extensão PYW para suprimir a janela do console durante sua execução. Sua arquitetura protege o código-fonte realizando a descriptografia de suas funções em blocos de memória de forma efêmera, apenas no exato momento em que uma funcionalidade é chamada, recriptografando os dados em seguida. Uma versão mais recente deste código introduziu um sistema de gestão de filas para processar instruções remotas com statuses operacionais dinâmicos como agendado, em progresso, concluído ou falho.

Superficie afetada

As operações impactam diretamente estáções de trabalho em redes governamentais e corporativas, com enfoque em terminais de funcionários com acesso a dados sensíveis de infraestrutura energética e projetos de veículos aéreos não tripulados. A atividade atual abrange residências de dados na Rússia, Cazaquistão e Brasil.

  • Máquinas de usuários finais na América do Sul e Ásia Central visadas por transmissões e documentos em canais de comunicação sob comprometimento.
  • Ambientes corporativos de desenvolvimento e defesa com risco de exposição de credenciais e movimentação pelo túnel reverso de rede conectado à infraestrutura de comando e controle.
  • hosts que possuem softwares de suporte remoto legítimos instalados são alvos de prominently alto.
Hunting e telemetria

Equipes de resposta a incidentes e analistas de segurança devem focar na identificação da execução de comandos silenciosos, abuso de serviços de rede e tarefas de manutenção anômalas que utilizam scripts. A telemetria de ponto final deve ser ajustada para capturar operações de descompressão de arquivos Python ofuscados no sistema de arquivos.

  • Monitorar processos sendo iniciados a partir de arquivos com extensão.pyw ocultos em diretórios temporários ou de usuário.
  • Inspecionar a criação agendada de tarefas que acionam arquivos Visual Basic Script para inicialização de processos em segundo plano.
  • Buscar atividade de rede de saída suspeita envolvendo requisições a repositórios de código públicos para download de binários não autorizados.
  • Detectar tentativas de estabelecimento de túneis de socket seguro (SSH) reversos utilizando chaves privadas embutidas, característica do utilitário Go2Tunnel.
  • Ativar alertas para processos de software desktop remoto, especificamente o RustDesk, gerando capturas de tela imediatas após eventos de entrada de credenciais.
Mitigação

A contenção deste ator exige uma postura de defesa em profundidade focada na quebra da cadeia de execução inicial e no bloqueio de persistência. A revisão das permissões de execução de scripts não assinados e o monitoramento rigoroso das tarefas agendadas reduzão drasticamente o tempo de permanência do invasor na rede. As ferramentas de acesso remoto devem ser estritamente controladas via listas de permissões de aplicativos.

  • Certifique-se de que todos os endpoints possuam as correções de segurança de novembro de 2025 aplicadas, eliminando a superfície de exploração de atalhos LNK.
  • Implemente políticas de restrição de software ou controles de aplicativos para impedir a execução de interpretadores Python de forma silenciosa a partir de diretórios graváveis pelo usuário.
  • Audite bloqueios outbound para conexões SSH direcionadas a endereços IP suspeitos ou serviços de nuvem desconhecidos, limitando o sucesso de utilitários de tunelamento integrados ao malware.
  • Reforce campanhas de treinamento de conscientização focadas em alertar sobre anexos arquivados contendo atalhos ou aplicativos móveis não solicitados provenientes de canais de mensageria comprometidos.

Postar um comentário

0 Comentários