Хакеры из Armored Likho проводят кибератаки на госучреждения и предприятия России, Казахстана и Бразилии

изображение: grok
Обнаружена новая кибергруппировка Armored Likho, атакующая государственные организации и энергетические предприятия с помощью ранее неизвестного инфостилера BusySnake. Целевые операции затронули структуры в России, Бразилии и Казахстане. Преступники постоянно дорабатывают свой инструментарий, усложняя обнаружение и расширяя контроль над заражёнными машинами.
Исследование выпустила компания Kaspersky. Аналитики зафиксировали у Armored Likho сразу два направления работы. Первое — целевые атаки на организации, второе — коммерчески мотивированные кампании против частных пользователей. Российские компании и рядовые пользователи из РФ также попали в число пострадавших, что делает угрозу актуальной для местного рынка.
Для проникновения в инфраструктуру группировка задействует модульные RAT-трояны, стилеры и вспомогательные утилиты, спроектированные с оглядкой на обход песочниц и динамического анализа. За счёт этого вредоносный код заметно дольше живёт на устройстве после первичного заражения.
Активно применяется утилита Go2Tunnel. Она поднимает обратные SSH-туннели между заражённой машиной и командной инфраструктурой, что позволяет операторам сохранять доступ, гонять команды и вытаскивать украденные данные даже после смены сетевых настроек у жертвы.
По оценке Kaspersky, у Armored Likho есть пересечения с группировкой Eagle Werewolf, изученной ранее аналитиками BI.ZONE. Эта команда действует минимум с 2023 года и раньше засветилась в атаках на госсектор и оборонку.
Стоит обратить внимание, что Eagle Werewolf ранее использовала взломанные Telegram-каналы для распространения загрузчика, замаскированного под инструкцию по активации оборудования Starlink, с последующей развёрткой трояна AquilaRAT.
Свежее расследование Kaspersky фиксирует появление у преступников инфостилера BusySnake, написанного на Python под Windows. В одной из сборок отдельный модуль занимается кражей cookie-файлов из популярных браузеров.
Полная атрибуция группировки пока не проведена. При этом архитектура кода и рабочие методы позволяют аналитикам говорить о вероятной связи с уже засветившимися преступными операциями.
Стартует заражение с фишинговой рассылки. Жертве уходит письмо, оформленное под официальное уведомление госоргана или сообщение о социальных программах. Внутри лежит RAR-архив с исполняемым файлом, который и запускает цепочку компрометации.
После старта загрузчик подтягивает дополнительные модули напрямую из репозитория GitHub. Среди подтянутых компонентов оказывается и сам BusySnake. Параллельно на диск падают два VBScript-файла — первый чистит следы первичного запуска, второй прописывает стилер в планировщик задач Windows для автозапуска.
В части кампаний EXE-файлы заменены на ярлыки LNK, эксплуатирующие уязвимость обработки таких файлов Windows. Ошибка получила номер CVE-2025-9491 и была закрыта Microsoft ещё в ноябре прошлого года. Аналитики Trend Micro раньше писали, что эту дыру несколько лет подряд эксплуатировали разные хакерские команды.
В цепочке, разобранной Kaspersky, LNK-ярлык запускает скрытую PowerShell-команду. Пользователю показывается безобидный документ-приманка, а параллельно в фоне идёт подготовка запуска BusySnake и закрепление в системе.
Сам инфостилер напичкан методами маскировки. Основные приёмы работы стилера:
- код расшифровывается прямо перед выполнением конкретной функции и сразу после этого шифруется обратно;
- работа идёт без открытия консольного окна, что сильно осложняет визуальное обнаружение;
- обфускация строк и имён функций затрудняет статический анализ;
- взаимодействие с C2-сервером идёт через шифрованный канал;
- обновление задач подтягивается порционно.
После установления связи с C2 BusySnake начинает выполнять поступающие команды. Базовый функционал стилера включает следующие возможности:
- кража содержимого буфера обмена;
- поиск и сбор пользовательских документов на диске;
- выгрузка найденных файлов на сервер операторов;
- создание снимков экрана в нужный момент;
- запись нажатий клавиш через кейлоггер;
- сбор файлов криптовалютных кошельков.
Отмечается, что программа умеет извлекать данные Telegram, поднимать обратный SSH-туннель через Go2Tunnel, разворачивать RustDesk, а также воровать cookie и сохранённые пароли из Mozilla Firefox и браузеров на движке Chromium.
Если RustDesk уже присутствует на машине, вредонос запускает приложение и подсовывает пользователю окно ввода учётных данных. Как только жертва вводит логин и пароль, BusySnake снимает скриншот с полями и отправляет картинку на управляющий сервер.
Обнаружена и обновлённая сборка BusySnake. Она получила переработанную систему управления задачами, которая отслеживает выполнение команд с C2 и присваивает им статусы автоматически. За счёт этого операторам стало проще держать под контролем большие пулы заражённых устройств.
Аналитики выделили несколько признаков зрелости группировки. Практические маркеры развития Armored Likho выглядят так:
- собственный инструментарий вместо готовых публичных решений;
- многоступенчатые цепочки заражения с использованием LNK и PowerShell;
- шифрование кода на лету и отказ от консольного вывода;
- применение GitHub как площадки доставки модулей;
- переход к унифицированной системе управления заражёнными машинами.
Дополнительный маркер зрелости — следы использования генеративного ИИ при разработке отдельных компонентов. Анализ первых версий загрузчиков выявил характерные комментарии и повторяющиеся куски кода, которые обычно оставляют ИИ-помощники при генерации.
По оценке Kaspersky, деятельность Armored Likho отражает сразу несколько актуальных тенденций рынка киберпреступности. Практические направления развития группировки:
- уход от зависимости от внешних сервисов в пользу внутренних функций стилера;
- усложнение методов сокрытия вредоносного кода;
- перенос части логики командного управления прямо внутрь бинарника;
- расширение перечня похищаемых данных за счёт мессенджеров и удалённых сессий;
- гибридизация целевых атак и массовых финансовых кампаний.
Российским компаниям и частным пользователям стоит учитывать, что операции Armored Likho идут в том числе по территории РФ, а фишинг маскируется под уведомления государственных ведомств и социальные рассылки. Это означает риск заражения не только для крупных корпоративных структур, но и для рядовых сотрудников госсектора, а также обычных граждан, получающих такие письма на личные адреса.
Ранее сообщалось, что после ослабления и ликвидации нескольких крупных операторов программ-вымогателей лидером рынка Ransomware-as-a-Service стала группировка Qilin. По актуальным оценкам, она контролирует около 16% этого криминального сегмента. Эксперты отмечали, что расстановка сил среди вымогательских группировок стремительно меняется, а деятельность подобных операторов затрагивает компании по всему миру, поскольку они давно перестали выбирать жертв по географическому принципу.
Эксперты редакции CISOCLUB уверены, что кейс Armored Likho становится показательной иллюстрацией того, как за пару лет преступные команды среднего эшелона дотягиваются до уровня, ранее закреплённого за APT-операциями. Появление собственного стилера на Python, автономная система управления задачами и следы применения ИИ при написании кода — сигнал о том, что порог входа в целевые атаки продолжает падать.
Российским организациям госсектора и энергетики стоит пересматривать модель угроз с учётом того, что фишинговые письма под ведомственные уведомления сохраняют высокий процент успеха. Отдельного внимания заслуживает связка Go2Tunnel и RustDesk — она сводит на нет часть периметровых средств защиты и требует перестройки мониторинга исходящих соединений.
Оперативное закрытие CVE-2025-9491 на всех Windows-парках, разбор писем через песочницы с проверкой LNK-вложений и контроль запусков PowerShell из пользовательских каталогов остаются практическим минимумом. Без пересмотра базовой гигиены электронной почты никакие продвинутые EDR не отработают такие цепочки заражения корректно.



