Gepantserde Likho richt zich op overheidsinstanties en de energiesector met BusySnake Stealer

Een voorheen ongedocumenteerde dreigingsacteur, bekend als Gepantserde Licho wordt toegeschreven aan cyberaanvallen gericht op overheidsinstanties en de elektriciteitssector in Rusland, Brazilië en Kazachstan.

“Gepantserde Likho combineert financieel gemotiveerde campagnes gericht op particulieren met gerichte cyberspionage gericht op organisaties”, aldus Kaspersky in een vandaag gepubliceerde technische analyse. “Hun toolkit bevat versluierde, modulaire RAT’s en infostealers die speciaal zijn ontworpen om dynamische analyse te omzeilen.”

De aanvallen worden ook gekenmerkt door het gebruik van tools als Go2Tunnel voor externe toegang en netwerktunneling. Dankzij de grote verscheidenheid aan tools in het arsenaal kan de bedreigingsacteur permanente toegang behouden tot gecompromitteerde hosts, inloggegevens en gevoelige gegevens stelen en op dynamische wijze modules leveren die zijn afgestemd op het profiel van het slachtoffer.

De Russische cyberbeveiligingsleverancier zei dat Armored Likho mogelijke overlappingen deelt met een dreigingscluster dat wordt gevolgd door BI.ZONE onder de naam Eagle Werewolf, die actief is sinds mei 2023. De hackgroep heeft een staat van dienst in het aanvallen van overheids- en defensieorganisaties, met name degenen die betrokken zijn bij de ontwikkeling en productie van UAV’s, met behulp van droppers, trojans voor externe toegang (RAT’s) en hulpprogramma’s voor het opzetten van SSH-tunnels.

“Bedreigingsactoren kunnen gecompromitteerde Telegram-kanalen gebruiken om de malware te verspreiden”, merkt BI.ZONE op in zijn beschrijving van de dreigingsactor. “Hoewel de voornaamste motivatie van de groep cyberspionage is, zijn er ook campagnes geregistreerd die gericht zijn op het stelen van geld van slachtoffers.”

In februari 2026 werd waargenomen dat Eagle Werewolf een op drones gericht Telegram-kanaal in gevaar bracht om AquilaRAT te distribueren via een Rust-dropper die zich voordeed als een checklist voor de activering van Starlink-apparaten. Bij de aanvallen wordt ook een tool gebruikt die Go2Tunnel wordt genoemd en die een omgekeerde SSH-tunnel naar een command-and-control (C2)-server tot stand brengt met behulp van een privésleutel.

Uit de laatste bevindingen blijkt dat de bedreigingsactoren ook een voorheen niet-gerapporteerde, op Python gebaseerde informatie-diefstaler genaamd BusySnake Stealer hebben ingezet, gericht op Windows-systemen, waarvan één versie een module bevat voor het stelen van cookies uit webbrowsers. De exacte oorsprong van Armored Likho blijft onbekend.

Het startpunt van de aanvalsketen is een spearphishing-e-mail die lokmiddelen gebruikt die verband houden met officiële overheidsmededelingen of sociale programma’s om een ​​RAR-archief te verspreiden met EXE-binaire bestanden die dienen als droppers voor extra payloads die zijn opgehaald uit een GitHub-repository, inclusief de stealer-payload.

De dropper-malware creëert ook twee Visual Basic Script-bestanden (VBScript) die verantwoordelijk zijn voor het wissen van sporen van de initiële uitvoering en voor het starten van de stealer door middel van een geplande taak.

Alternatieve ketens maken gebruik van Windows-snelkoppelingen (LNK) in plaats van EXE-payloads die een nu gepatchte kwetsbaarheid bewapenen die verband houdt met de manier waarop Windows met dergelijke bestanden omgaat, wat resulteert in het uitvoeren van externe code. De fout, bijgehouden als CVE-2025-9491 (ook bekend als ZDI-CAN-25373), werd door Microsoft verholpen als onderdeel van de Patch Tuesday-updates voor november 2025. Uit bewijsmateriaal dat vorig jaar door Trend Micro werd opgegraven, bleek dat de tekortkoming sinds 2017 door een tiental hackgroepen was bewapend.

In de door Kaspersky gedocumenteerde aanvalsketen wordt de kwetsbaarheid van snelkoppelingen misbruikt om de uitvoering van een versluierd PowerShell-commando te activeren dat een lader start die verantwoordelijk is voor het weergeven van een lokdocument, terwijl de omgeving wordt voorbereid op de uitvoering van de Python-stealer. De malware zorgt vervolgens voor persistentie via een combinatie van een VBScript-bestand en een geplande taak, zoals voorheen.

De dief, genaamd BusySnake, implementeert meerdere ontwijkingstechnieken om statische analyse en omzeilingsdetectie te bemoeilijken. Het primaire doel is om communicatie met een C2-server tot stand te brengen en vervolgens binnenkomende instructies af te wachten. Het ondersteunt ook de volgende functionaliteit:

  • Gegevens stelen van het systeemklembord.
  • Inventariseer bestanden in het hele systeem en log hun metagegevens in een lokale database.
  • Upload gebruikersdocumenten naar de C2-server.
  • Maak schermafbeeldingen en plaats ze in een lokale map.
  • Archiveer vastgelegde schermafbeeldingen en verwijder eerder gemaakte archieven van de schijf.
  • Voorkom dat meerdere exemplaren van de stealer gelijktijdig op de geïnfecteerde host worden uitgevoerd.
  • Zorg voor persistentie door te controleren of de geplande taak bestaat, en als dat niet het geval is, laat dan een VBScript vallen om een ​​nieuwe geplande taak te registreren.

Bovendien maken de door de C2-server uitgegeven opdrachten het mogelijk om met een bepaald interval schermafbeeldingen te maken, toetsaanslaggegevens te loggen, cryptocurrency-portemonneebestanden met een JSON-extensie te verzamelen, Telegram-sessie- en inloggegevens te verzamelen, een omgekeerde SSH-tunnel tot stand te brengen met behulp van Go2Tunnel, RustDesk te installeren en cookies uit Mozilla Firefox en Chromium-gebaseerde browsers te extraheren, samen met wachtwoorden.

Als RustDesk al op de machine is geïnstalleerd, wordt de open-source externe desktopsoftware gestart en wordt het slachtoffer gevraagd zijn inloggegevens in te voeren, waarna de dief een screenshot van de inloggegevens maakt en deze naar de C2-server exfiltreert.

“De malware decodeert zijn bytecode dynamisch alleen op het exacte moment dat een functie wordt aangeroepen, en versleutelt de gegevens onmiddellijk daarna opnieuw”, aldus Kaspersky. “Bovendien draait de malware op de achtergrond zonder een consolevenster te laten verschijnen, zoals aangegeven door de PYW-bestandsextensie.”

Kaspersky zei dat het ook een nieuwere versie van BusySnake heeft geïdentificeerd die voortbouwt op het architecturale ontwerp van de voorganger en een nieuw raamwerk voor taakbeheer bevat om inkomende C2-opdrachten af ​​te handelen en deze dynamisch operationele statussen toe te wijzen, zoals GEPLAND, IN_PROGRESS, SUCCEEDED of FAILED, voor een betere rapportage aan de server.

De banden van de bedreigingsacteur met Eagle Werewolf komen ook voort uit overlappingen tussen AquilaRAT en BusySnake Stealer, vooral in de manier waarop beide malwarefamilies taken ontvangen van de C2-server, persistentie registreren via geplande taken en vergelijkbare eindpunten gebruiken voor C2-communicatie.

Er zijn ook tekenen dat de payloads van de eerste fase, bestaande uit laders en stagers, waarschijnlijk zijn gegenereerd met behulp van hulpmiddelen voor kunstmatige intelligentie (AI), gezien de aanwezigheid van overtollige opmerkingen en codeblokken.

“Deze campagne belicht verschillende gelijktijdige trends: de groeiende technische volwassenheid van Armored Likho, polymorfisme van tools en een verschuiving naar complexere schema’s gericht op het omzeilen van beveiligingsoplossingen – variërend van verduistering van de Python-broncode tot het rechtstreeks inbedden van netwerkmechanismen in de malwarecode”, aldus Kaspersky.

“Tegelijkertijd is de groep bezig met het op agressieve wijze verfijnen en aanpassen van zijn kerntoolkit. Terwijl Go2Tunnel voorheen als een zelfstandig hulpprogramma opereerde, is de reverse-tunneling-functionaliteit nu rechtstreeks in de stealer geïntegreerd als een ingebouwde functie die parameters van de C2-server opneemt.”

Thijs Van der Does