
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Armored Likho to grupa zagrożeń powiązana z ukierunkowanymi kampaniami przeciwko instytucjom publicznym oraz organizacjom z sektora energetycznego. W najnowszych operacjach centralną rolę odgrywa BusySnake Stealer, modułowe złośliwe oprogramowanie dla systemów Windows, które łączy kradzież informacji z mechanizmami trwałości, obchodzenia detekcji i zdalnej obsługi zainfekowanego hosta.
To nie jest klasyczny infostealer działający w ograniczonym zakresie. BusySnake wpisuje się w model ataku wieloetapowego, w którym pojedyncza infekcja może prowadzić zarówno do wycieku danych, jak i do długotrwałej obecności napastnika w środowisku ofiary.
W skrócie
- Kampanie przypisywane Armored Likho są wymierzone m.in. w podmioty rządowe i energetyczne.
- Punkt wejścia stanowi spear phishing z użyciem fałszywych dokumentów i plików-wabików.
- Łańcuch infekcji prowadzi do uruchomienia droppera, pobrania kolejnych komponentów i wdrożenia BusySnake Stealer.
- Malware kradnie dokumenty, dane uwierzytelniające, cookies, sesje Telegrama oraz pliki portfeli kryptowalut.
- Operatorzy wykorzystują także tunelowanie SSH i narzędzia zdalnego dostępu do działań poeksploatacyjnych.
Kontekst / historia
Badacze wskazują, że Armored Likho może częściowo pokrywać się z aktywnością klastra śledzonego wcześniej jako Eagle Werewolf. Już wcześniejsze operacje tej grupy były łączone z atakami na administrację, sektor obronny oraz podmioty związane z systemami bezzałogowymi. Charakterystyczne pozostawało użycie dropperów, trojanów zdalnego dostępu i narzędzi wspierających budowę tuneli SSH.
Obecna kampania pokazuje jednak wyraźny rozwój zaplecza technicznego. Oprócz wcześniej obserwowanych komponentów operatorzy wdrożyli nowy stealer napisany w Pythonie, a sam łańcuch dostarczenia stał się bardziej modularny i trudniejszy do analizy. Widać także dojrzalsze podejście do persistence, zarządzania zadaniami oraz maskowania logiki wykonywania złośliwego kodu.
Analiza techniczna
Atak zwykle rozpoczyna się od wiadomości phishingowej zawierającej archiwum RAR z plikiem wykonywalnym albo skrótem LNK. W scenariuszu z plikiem EXE użytkownik uruchamia dropper, który pobiera kolejne elementy zestawu narzędzi. Następnie tworzone są skrypty VBScript odpowiedzialne za usuwanie śladów oraz konfigurację trwałości z użyciem harmonogramu zadań.
W wariancie opartym na LNK wykorzystywany jest mechanizm uruchamiania zaciemnionych poleceń PowerShell. Taki skrót może jednocześnie wyświetlić dokument-wabik i przygotować system do uruchomienia kolejnego etapu infekcji. Według opisu kampanii w części przypadków wykorzystywano również wektor związany z wcześniej załataną podatnością CVE-2025-9491 dotyczącą obsługi skrótów w Windows.
BusySnake Stealer został zaprojektowany tak, aby utrudniać analizę statyczną i dynamiczną. Wybrane funkcje oraz fragmenty kodu są odszyfrowywane dopiero w momencie wykonania, a następnie ponownie szyfrowane. Taki model zmniejsza widoczność istotnej logiki malware podczas analizy i utrudnia tworzenie prostych sygnatur detekcyjnych.
Zakres funkcji złośliwego oprogramowania jest szeroki i wykracza poza typową kradzież haseł. BusySnake może działać jako narzędzie do eksfiltracji, nadzoru nad aktywnością użytkownika oraz utrzymania dostępu do systemu.
- przechwytywanie danych ze schowka,
- enumeracja plików i zapisywanie metadanych,
- kradzież dokumentów użytkownika,
- wykonywanie zrzutów ekranu,
- rejestrowanie naciśnięć klawiszy,
- pozyskiwanie cookies i zapisanych haseł z przeglądarek Firefox oraz Chromium,
- kradzież danych sesyjnych Telegrama,
- pozyskiwanie plików portfeli kryptowalut,
- odtwarzanie persistence przez VBScript i Scheduled Tasks,
- zestawianie odwróconego tunelu SSH,
- uruchamianie lub instalowanie RustDesk do dalszej zdalnej obsługi.
Na uwagę zasługuje także rozwój architektury sterowania malware. Nowsze warianty BusySnake mają framework zarządzania zadaniami, który porządkuje polecenia z serwera dowodzenia według statusów wykonania. To sugeruje większą dojrzałość operacyjną i lepszą kontrolę nad przebiegiem kampanii po stronie operatorów.
Badacze zauważyli również, że część loaderów i stagerów mogła zostać wygenerowana z pomocą narzędzi AI. Wskazują na to powtarzalne bloki kodu i nadmiarowe komentarze. Nie zmienia to zasadniczo poziomu zagrożenia, ale pokazuje, że automatyzacja może skracać czas przygotowania komponentów pomocniczych.
Konsekwencje / ryzyko
Z punktu widzenia obrońców kampania jest szczególnie niebezpieczna, ponieważ łączy kilka klas zagrożeń w jednym łańcuchu operacyjnym. BusySnake nie tylko wykrada informacje, ale może też zapewnić napastnikom trwały dostęp i kanał komunikacji pozwalający rozwijać atak w kolejnych etapach.
W organizacjach publicznych i energetycznych ryzyko obejmuje zarówno utratę poufnych dokumentów, jak i możliwość przejęcia aktywnych sesji w usługach biznesowych, komunikatorach lub aplikacjach administracyjnych. Kradzież cookies, zapisanych haseł i artefaktów sesyjnych może osłabić skuteczność zabezpieczeń opartych wyłącznie na haśle.
Szczególnie narażone są środowiska, w których użytkownicy regularnie otwierają zewnętrzne dokumenty, działają z podwyższonymi uprawnieniami lub nie są objęci ścisłym monitoringiem skryptów, harmonogramu zadań i ruchu wychodzącego. Dodatkowym problemem jest możliwość wykorzystania RustDesk i tuneli SSH do działań poeksploatacyjnych, które mogą pozostać niezauważone w mniej dojrzałych środowiskach SOC.
Rekomendacje
Organizacje powinny traktować tę kampanię jako przykład zagrożenia wielowarstwowego, wymagającego ochrony na poziomie poczty, endpointów, tożsamości i ruchu sieciowego. Kluczowe znaczenie ma zarówno prewencja, jak i szybkie wykrywanie nietypowych sekwencji działań po stronie stacji roboczych.
- wzmocnić ochronę poczty przed spear phishingiem i analizować załączniki EXE, LNK, VBS oraz polecenia PowerShell,
- potwierdzić wdrożenie aktualizacji Windows, zwłaszcza poprawek związanych z CVE-2025-9491,
- monitorować tworzenie i modyfikacje Scheduled Tasks,
- śledzić uruchomienia procesów takich jak wscript.exe, cscript.exe, powershell.exe oraz nietypowych interpreterów Pythona,
- wykrywać podejrzane połączenia wychodzące i tunele SSH z hostów użytkowników końcowych,
- ograniczyć użycie narzędzi zdalnego dostępu, takich jak RustDesk, wyłącznie do autoryzowanych przypadków,
- wdrożyć detekcję prób kradzieży danych z przeglądarek, schowka i katalogów dokumentów,
- prowadzić hunting pod kątem VBScriptów i artefaktów pobierania payloadów z zewnętrznych repozytoriów,
- stosować segmentację sieci i zasadę najmniejszych uprawnień,
- włączyć MFA odporne na przejęcie sesji oraz wymuszać ponowną autoryzację po wykryciu anomalii,
- zaktualizować playbooki reagowania o scenariusze obejmujące jednocześnie eksfiltrację, zdalny dostęp i tunelowanie.
W środowiskach podwyższonego ryzyka warto dodatkowo analizować pamięć oraz telemetrię EDR pod kątem procesów działających bez widocznego okna, niestandardowych rozszerzeń skryptów i łańcucha zdarzeń prowadzącego od phishingu do utrwalenia obecności napastnika.
Podsumowanie
Armored Likho pokazuje, że współczesne kampanie przeciwko sektorowi publicznemu i infrastrukturze krytycznej coraz częściej łączą cyberwywiad z technikami typowymi dla cyberprzestępczości nastawionej na zysk. BusySnake Stealer pełni rolę znacznie szerszą niż zwykłe narzędzie do kradzieży danych, ponieważ wspiera persistence, eksfiltrację, zdalny dostęp i obchodzenie detekcji.
Dla zespołów bezpieczeństwa oznacza to konieczność szybkiego łatania systemów Windows, ścisłej kontroli skryptów i skrótów, monitorowania harmonogramu zadań oraz wykrywania anomalii w ruchu wychodzącym i użyciu narzędzi zdalnego dostępu. Skuteczna obrona wymaga tu połączenia widoczności na endpointach z aktywnym huntingiem i dyscypliną operacyjną po stronie użytkowników.
Źródła
- https://thehackernews.com/2026/07/armored-likho-targets-government.html
- https://www.kaspersky.ru/about/press-releases/prilozhenie-primanku-pod-vidom-psihologicheskogo-testa-ispolzuyut-dlya-kiberatak-na-gossektor-i-energetiku
- https://bi-zone.medium.com/unholy-trinity-werewolves-target-law-enforcers-f28357945280
- https://petri.com/microsoft-patches-windows-lnk-zero-day/
- https://www.techrepublic.com/article/news-microsoft-fixes-security-flaw/