Armored Likho lança campanha no Brasil contra governo e energia

Campanha de Espionagem Cibernética do Armored Likho
O grupo de ameaças persistentes avançadas (APT) Armored Likho está realizando uma campanha de spear-phishing direcionada a agências governamentais e empresas do setor elétrico no Brasil, Rússia e Cazaquistão. Essa descoberta, feita pela Kaspersky em julho de 2026, revela que o grupo utiliza um infostealer inédito, o BusySnake Stealer, desenvolvido em Python, que é capaz de roubar credenciais e exfiltrar dados sensíveis de sistemas Windows.
Como o ataque chega até a vítima
Os ataques começam com e-mails maliciosos que se disfarçam como comunicações oficiais ou mensagens sobre programas sociais. Esses e-mails contêm arquivos compactados com nomes que parecem legítimos, como “teste psicológico” ou “solicitação de ajuda humanitária”, mas que na verdade abrigam executáveis ou atalhos LNK maliciosos.
Os atalhos LNK exploram a vulnerabilidade CVE-2025-9491, permitindo que comandos PowerShell maliciosos sejam ocultados. Embora a Microsoft tenha corrigido essa falha em novembro de 2025, muitas organizações ainda estão vulneráveis por não terem aplicado a atualização. Além disso, a Kaspersky identificou que os loaders de primeiro estágio podem ter sido desenvolvidos com inteligência artificial generativa, evidenciado por características incomuns no código-fonte.
BusySnake Stealer: o que o malware é capaz de fazer
O BusySnake Stealer é uma ferramenta modular e eficiente, projetada exclusivamente para sistemas Windows. Ele substitui ferramentas anteriores do grupo e oferece capacidades avançadas, como captura de dados da área de transferência, realização de screenshots e roubo de senhas armazenadas em navegadores.
Além disso, o malware exfiltra arquivos de até 5 MB de pastas específicas e estabelece túneis SSH reversos para garantir acesso remoto persistente, mesmo após a mitigação do vetor inicial. Para se manter ativo, o BusySnake Stealer cria uma tarefa agendada chamada WindowsHelper, que é executada a cada cinco minutos, dificultando a detecção por soluções de segurança.
Leia também
Conexão com o grupo Eagle Werewolf e histórico de atividade
A Kaspersky identificou semelhanças entre o BusySnake Stealer e o AquilaRAT, uma ferramenta associada ao grupo Eagle Werewolf, ativo desde maio de 2023. Em fevereiro de 2026, o Eagle Werewolf comprometeu um canal do Telegram para distribuir o AquilaRAT, utilizando um disfarce que se adequava ao contexto geopolítico atual.
A ligação entre os dois grupos é baseada em semelhanças técnicas, embora a Kaspersky mantenha cautela na atribuição. Essa conexão destaca a necessidade de vigilância constante nas áreas afetadas.
O que os líderes de TI e Cibersegurança precisam fazer agora
A situação exige uma resposta imediata e estruturada devido à combinação de engenharia social, exploração de vulnerabilidades conhecidas e uso de IA. A prioridade deve ser a aplicação do patch para a CVE-2025-9491, pois essa vulnerabilidade é o principal vetor de ataque.
Além disso, é crucial monitorar tarefas agendadas suspeitas, como a WindowsHelper, e realizar auditorias de rede para identificar túneis SSH reversos não autorizados. A filtragem avançada de e-mails também deve ser aprimorada para detectar anexos maliciosos, especialmente em campanhas de spear-phishing que utilizam temas governamentais.
Fonte por: Its Show
Autor(a):
Redação
Portal de notícias e informações atualizadas do Brasil e do mundo. Acompanhe as principais notícias em tempo real


