Исследователи раскрыли активную кампанию ранее не описанной APT-группы Armored Likho. Основные цели — государственные организации и электроэнергетический сектор в России, Бразилии и Казахстане. Группа совмещает атаки на частных пользователей ради денег с кибершпионажем против организаций, а в новой кампании использует Python-стилер BusySnake Stealer, модульные трояны удалённого доступа и инструменты для скрытого туннелирования трафика.
Сценарий начинается с точечного фишинга. Жертве приходит письмо с архивом, где лежит исполняемый файл или ярлык Windows .lnk. Темы приманок: «психологический тест», «заявка на гуманитарную помощь», справки о долгах, социальные программы, документы от ведомств. В отчёте перечислены архивы с названиями вроде psihologicheskiy_test.zip и zayavka_gumanitarnayapomosch.rar. После запуска пользователь видит документ или приложение-приманку, а вредоносная цепочка разворачивается в системе.
В одном варианте атаки внутри архива лежит EXE-дроппер на базе NSIS — самораспаковывающегося установщика. Он показывает фальшивый психологический опрос, записывает легитимный исполняемый файл во временную папку и внедряет загрузчик прямо в память процесса. Затем загрузчик скачивает архивы из GitHub-репозиториев. Внутри — Python 3.12, get-pip.py, среда PyArmor и основной модуль BusySnake Stealer. Всё это собирается в рабочей папке %AppData%\WindowsHelper.
Другой вариант использует ярлыки Windows. LNK-файл запускает замаскированную команду, подтягивает Python, документ-приманку и архив с полезной нагрузкой. В этой цепочке упоминается CVE-2025-9491, ранее известная как ZDI-CAN-25373. Уязвимость связана с обработкой .lnk: опасное содержимое можно спрятать так, что пользователь не увидит реальную команду в обычном интерфейсе Windows. NVD описывает её как ошибку, позволяющую выполнить код при открытии вредоносного файла или страницы.
BusySnake Stealer — главный инструмент кампании. Это стилер на Python для Windows, защищённый PyArmor Pro 9.2.0. Код расшифровывается только в момент вызова нужной функции и затем снова шифруется, что усложняет статический анализ. Расширение .pyw помогает запускать вредонос без консольного окна, чтобы пользователь не заметил процесс.
Стилер BusySnake крадёт данные из буфера обмена, перечисляет файлы, ищет 64-символьные шестнадцатеричные ключи, собирает документы, делает скриншоты, ведёт журнал нажатий клавиш, достаёт пароли из Chromium-браузеров и Firefox, вытаскивает cookie-файлы, ищет OTP-секреты для одноразовых кодов, собирает криптокошельки и забирает данные сессий Telegram Desktop. Через команды с управляющего сервера он также может поднимать обратный SSH-туннель и перезапускать RustDesk, чтобы перехватить данные для удалённого доступа.
Закрепление в системе осуществляется через запланированную задачу Windows. В отчёте указано, что вредонос создаёт VBScript-лаунчер и задачу, которая запускает полезную нагрузку каждые пять минут. Название маскируется под системную активность: WindowsHelper. Похожий приём встречался у AquilaRAT — другого инструмента, который исследователи связывают с той же активностью.
Armored Likho также развивает сетевые возможности. Раньше группа использовала Go2Tunnel как отдельный инструмент для обратных SSH-туннелей. В новой версии BusySnake эта функциональность уже встроена в сам стилер: он получает параметры от управляющего сервера, поднимает туннель и даёт атакующим более устойчивый удалённый доступ. SecurityWeek отдельно отмечает, что стек группы включает BusySnake, Go2Tunnel и модульные трояны удалённого доступа.
В новой версии стилера появилась возможность выполнять произвольные Python-скрипты. Код получает задачи с управляющего сервера, при необходимости ставит зависимости через pip, запускает отдельный процесс и выполняет скрипт в памяти без записи на диск. Такой подход усложняет расследование: на диске остаётся меньше явных артефактов, а возможности вредоноса можно расширять под конкретную жертву.
Отдельная деталь — следы генерации кода с помощью языковых моделей. Исследователи заметили в загрузчиках избыточные комментарии и необычное оформление, включая эмодзи-маркеры. Такой стиль не похож на привычный ручной код вредоноса, то есть первый этап атаки мог быть частично сгенерирован ИИ, что размывает почерк разработчиков и мешает атрибуции.
Кампанию относят к Armored Likho со средней степенью уверенности. Есть пересечения с активностью Eagle Werewolf: схожая структура инструментов, похожие конечные точки управляющих серверов, обратные SSH-туннели, запланированные задачи и близкая логика выполнения команд. The Hacker News также описывает пересечение с Eagle Werewolf и указывает, что группа использовала AquilaRAT и LNK-цепочки.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.