Hack Alerta

Armored Likho usa malware BusySnake e IA para atacar setor elétrico e governo no Brasil

Grupo APT Armored Likho utiliza malware BusySnake e IA para atacar setor elétrico e governo no Brasil, com foco em ciberespionagem e roubo de credenciais.

Um novo grupo de ameaças avançadas persistentes (APT) identificado como Armored Likho, também conhecido como Eagle Werewolf, está conduzindo uma campanha de ciberespionagem sofisticada que tem como alvo agências governamentais e o setor de energia elétrica. A campanha, que se estende por Rússia, Brasil e Cazaquistão, utiliza ferramentas maliciosas polimórficas e geração de código por inteligência artificial para evadir detecções e manter acesso persistente às redes comprometidas.

Descoberta e escopo da campanha

A Kaspersky identificou a atividade do Armored Likho durante monitoramento de rotina de ameaças. O grupo combina campanhas motivadas financeiramente contra indivíduos privados com ciberespionagem direcionada a organizações. Seu arsenal inclui RATs (Trojans de Acesso Remoto) e infostealers (roubadores de informações) obfuscos, especificamente projetados para contornar análises dinâmicas. Além disso, o grupo utiliza ferramentas mais simples como o Go2Tunnel para acesso remoto e tunelamento de rede.

Uma das características mais preocupantes desta campanha é o uso de inteligência artificial para gerar os primeiros estágios do payload malicioso. Isso borra os TTPs (Táticas, Técnicas e Procedimentos) dos atacantes e complica os esforços de atribuição. A campanha destaca tendências concorrentes: a crescente maturidade técnica do Armored Likho, a polimorfia de ferramentas e uma mudança para esquemas mais complexos destinados a contornar soluções de segurança.

Vetor de infecção inicial

O phishing continua sendo um dos principais vetores de acesso inicial que este ator de ameaças utiliza pesadamente em suas campanhas mais recentes. O Armored Likho utiliza e-mails de spear-phishing, com temas que variam de avisos governamentais oficiais a programas sociais. Em sua campanha mais recente, os atacantes distribuíram anexos maliciosos dentro de arquivos compactados com nomes como 1bfb2e79-8084-429e-a35c-8b595ab9f839_psihologicheskiy_test.zip (teste psicológico) ou zayavka_gumanitarnayapomosch.rar (pedido de ajuda humanitária).

Esses arquivos compactados continham executáveis ou arquivos LNK nomeados para imitar os temas do e-mail, enganando os usuários para executá-los em seus dispositivos. Existem duas variantes principais de como eles conseguem o acesso inicial:

  • Anexo EXE: O arquivo compactado contém um dropper nomeado psihologicheskiy_test.exe, que é um arquivo auto-extraível construído usando o Nullsoft Scriptable Install System (NSIS). Quando a vítima abre o arquivo, um aplicativo de isca é lançado para desarmar a suspeita, apresentando uma pesquisa psicológica falsa. Uma vez executado, o dropper escreve um executável legítimo, $temp\nsn5531.tmp\pnx.exe, no disco e o inicia. O código é então injetado na memória do processo pnx.exe para executar um carregador malicioso.
  • Anexo LNK: Em campanhas alternativas, o arquivo compactado contém um arquivo nomeado Zayavka_[redacted].lnk. O grupo aproveitou a vulnerabilidade de atalho ZDI-CAN-25373 para ocultar o conteúdo de sua linha de comando. Isso permite que os atacantes usem espaços ou quebras de linha para ocultar parâmetros de execução.

Análise técnica do BusySnake Stealer

O payload principal nesta campanha é um infostealer anteriormente não documentado, baseado em Python, que os pesquisadores batizaram de BusySnake Stealer. O código-fonte do stealer implementa múltiplas técnicas de evasão projetadas para frustrar a detecção e complicar a análise estática. Especificamente, o código do BusySnake Stealer é ofuscado e criptografado usando o PyArmor Pro versão 9.2.0. O malware descriptografa seu bytecode dinamicamente apenas no momento exato em que uma função é chamada, recriptografando os dados imediatamente após.

A arquitetura do stealer depende de handlers, cada um responsável por funções específicas. O malware inicializa seu arquivo de configuração, que contém o endereço do servidor C2, caminhos de diretório, expressões regulares, intervalos de captura de tela, uma string User-Agent para comunicações de rede e muito mais. O malware varre o sistema de arquivos local e tenta extrair chaves hexadecimais de 64 caracteres dos arquivos. Ele também mapeia unidades lógicas e varre diretórios de usuário como /Desktop, /Documents e /Downloads.

Além disso, o stealer mantém uma conexão ativa com o servidor C2 para aguardar instruções durante a execução. Ele pode exfiltrar senhas de navegadores Chromium e Firefox, cookies, dados do Telegram, chaves de criptomoedas e até mesmo instalar extensões de navegador para roubo de cookies. Uma funcionalidade notável é a capacidade de estabelecer túneis SSH reversos como uma função integrada, permitindo acesso remoto persistente e controle interativo sobre o host comprometido.

Impacto e alcance no Brasil

Até o momento, vítimas confirmadas foram identificadas na Rússia, Cazaquistão e Brasil. Os ataques são focados principalmente nos setores de infraestrutura governamental e de energia elétrica. A presença de vítimas no Brasil destaca a necessidade de vigilância reforçada por parte das equipes de segurança da informação locais, especialmente em setores críticos.

O uso de ferramentas como o BusySnake Stealer, que incorpora funcionalidades de tunelamento SSH e roubo de credenciais de navegadores, representa uma ameaça significativa para organizações que lidam com dados sensíveis. A capacidade do malware de instalar extensões de navegador para roubo de cookies e de estabelecer túneis SSH reversos permite que os atacantes mantenham acesso de longo prazo e exfiltrem dados de forma eficiente.

Medidas de mitigação recomendadas

Para se proteger contra as campanhas do Armored Likho, as organizações devem adotar as seguintes medidas:

  • Monitoramento de e-mails: Implementar filtros de e-mail avançados para detectar e bloquear anexos maliciosos, especialmente arquivos compactados com nomes suspeitos.
  • Atualização de sistemas: Garantir que todos os sistemas estejam atualizados com as últimas correções de segurança, especialmente para vulnerabilidades conhecidas como a ZDI-CAN-25373.
  • Detecção de comportamento: Utilizar soluções de detecção e resposta de endpoint (EDR) que possam identificar comportamentos suspeitos, como a execução de scripts PowerShell ofuscados ou a criação de tarefas agendadas maliciosas.
  • Conscientização: Treinar funcionários para reconhecer e reportar e-mails de phishing, especialmente aqueles que parecem ser de fontes governamentais ou de ajuda humanitária.
  • Monitoramento de rede: Implementar monitoramento de tráfego de rede para detectar comunicações com servidores C2 conhecidos e atividades de tunelamento SSH suspeitas.

Perguntas frequentes

Qual é o principal objetivo do Armored Likho?
O grupo combina objetivos financeiros com ciberespionagem, focando em agências governamentais e infraestrutura de energia.

Como o BusySnake Stealer se diferencia de outros malwares?
Ele utiliza ofuscação avançada, geração de código por IA e funcionalidades integradas de tunelamento SSH.

Quais são os indicadores de comprometimento (IOCs) mais importantes?
Os IOCs incluem hashes de arquivos maliciosos, domínios C2 e padrões de comportamento específicos, como a criação de tarefas agendadas com nomes suspeitos.


Baseado em publicação original de Kaspersky
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.