Pesquisar

Armored Likho e BusySnake: Ameaça Global Ativa

Neste artigo do Blog Dolutech, vamos analisar em profundidade a ameaça mais ativa e mais tecnicamente relevante do momento: a campanha do grupo Armored Likho, que utiliza o infostealer BusySnake para atacar agências governamentais e o setor de energia elétrica em múltiplos continentes. Diferente de outras descobertas recentes em cibersegurança, esta não é uma prova de conceito acadêmica nem uma ameaça teórica: é uma campanha de espionagem em curso agora, documentada pela Kaspersky em relatório publicado na Securelist nesta semana, e que se encaixa em uma tendência maior que vem preocupando analistas de risco no mundo todo.

Segundo o Fórum Econômico Mundial, incidentes cibernéticos já são apontados como o principal risco global para 2026, à frente até mesmo da inteligência artificial, e 64% das organizações já incorporam tensões geopolíticas em seus planos de cibersegurança. Cerca de 60% dos ataques contra infraestrutura crítica no mundo são atribuídos a agentes ligados a estados nacionais, e o setor de energia já figura entre os quatro setores mais visados globalmente. O caso do Armored Likho se encaixa perfeitamente nesse cenário, e a Dolutech traz, a seguir, uma análise técnica completa da cadeia de ataque, do malware, dos indicadores de comprometimento e das medidas de mitigação recomendadas para organizações de infraestrutura crítica em qualquer lugar do mundo.

Quem é o Armored Likho

Armored Likho é o nome dado pela Kaspersky a um agente de ameaça até então não documentado, também associado com indícios circunstanciais ao cluster conhecido como Eagle Werewolf, rastreado anteriormente pela BI.ZONE. O grupo combina dois perfis de operação que normalmente não andam juntos: campanhas financeiramente motivadas contra indivíduos comuns e operações de espionagem cibernética direcionadas contra organizações estratégicas.

A origem exata do grupo permanece desconhecida, mas seu padrão de vítimas já está mapeado. Segundo a Kaspersky, o alcance geográfico das campanhas mais recentes abrange múltiplos países em diferentes continentes, com foco especial em agências governamentais e operadoras do setor elétrico. Nós, da Dolutech, entendemos que esse é exatamente o tipo de agente que ilustra uma mudança de comportamento observada globalmente: grupos que combinam espionagem contra infraestrutura crítica com cibercrime financeiro contra indivíduos, usando a mesma base de ferramentas para ambos os objetivos.

Em fevereiro de 2026, o cluster Eagle Werewolf já havia sido flagrado comprometendo um canal de Telegram voltado a entusiastas de drones para distribuir o AquilaRAT, usando um dropper em Rust disfarçado de checklist de ativação de dispositivos Starlink. A campanha atual representa uma evolução técnica significativa em relação a esse episódio anterior, e reforça um padrão já visto em outras APTs voltadas a infraestrutura crítica ao redor do mundo: da atuação histórica do Sandworm contra a rede elétrica ucraniana em 2015 até campanhas recentes documentadas contra operadores de energia nos Estados Unidos, na Europa e no Oriente Médio.

A cadeia de ataque: como a infecção acontece

O ponto de entrada do Armored Likho é o spear-phishing, com iscas cuidadosamente calibradas para cada ambiente-alvo. Os pesquisadores documentaram temas que vão de comunicados oficiais de governo a formulários de solicitação de ajuda humanitária, com nomes de arquivo em russo, como “zayavka_gumanitarnayapomosch.rar” e “psihologicheskiy_test.zip”, indicando foco inicial em vítimas de língua russa, embora o alcance da campanha já tenha se confirmado bem mais amplo.

Existem duas cadeias de infecção distintas documentadas pela Kaspersky, e ambas culminam na entrega do BusySnake Stealer.

Cadeia 1: dropper executável via NSIS

No primeiro caminho, o arquivo malicioso é um executável autoextraível construído com o Nullsoft Scriptable Install System (NSIS), disfarçado de aplicação inofensiva, como um falso teste psicológico. Ao ser executado, o dropper apresenta a isca visual para distrair a vítima, enquanto extrai e executa um loader oculto em segundo plano. Esse loader injeta código em um processo legítimo e busca pacotes de payload em repositórios do GitHub, usando caminhos que rotacionam automaticamente e com rapidez, dificultando o bloqueio por reputação de URL.

Cadeia 2: atalhos LNK explorando a CVE-2025-9491

A segunda cadeia utiliza arquivos de atalho do Windows (.lnk) que exploram a vulnerabilidade CVE-2025-9491, também conhecida como ZDI-CAN-25373. Essa falha, classificada como CWE-451 (User Interface Misrepresentation of Critical Information), permite que argumentos de linha de comando maliciosos sejam ocultados dentro do campo “Target” de um atalho, usando caracteres de espaço em branco para empurrar o conteúdo perigoso para fora da área visível na caixa de diálogo de Propriedades do Windows.

Essa vulnerabilidade tem uma história curiosa e preocupante, com relevância que ultrapassa em muito a campanha do Armored Likho. Ela foi divulgada publicamente pela Zero Day Initiative da Trend Micro em março de 2025, depois que a Microsoft inicialmente se recusou a corrigi-la, alegando que não atingia o critério de severidade necessário para uma correção emergencial. Na época, a Trend Micro já havia identificado quase mil amostras maliciosas de atalhos LNK explorando essa falha desde 2017, atribuídas a 11 grupos patrocinados por estados nacionais da Coreia do Norte, Irã, Rússia e China, usadas em campanhas contra alvos na Europa, na Ásia e no Oriente Médio. A Microsoft só corrigiu silenciosamente o comportamento em uma atualização cumulativa de novembro de 2025, sem publicar um aviso de segurança formal, fazendo com que a caixa de diálogo de Propriedades passasse a exibir o comando completo, independentemente do tamanho.

Isso significa, na prática, que qualquer sistema Windows em qualquer país que não tenha recebido essa atualização cumulativa de novembro de 2025 ou posterior permanece vulnerável a essa técnica de ocultação, mesmo que a exploração pelo Armored Likho seja de 2026.

Quando a vítima abre o atalho malicioso, o Windows executa um comando PowerShell ofuscado, oculto por trás de rundll32.exe, que baixa o loader de segundo estágio e exibe um documento-isca (como um formulário de ajuda humanitária ou um certificado de quitação de dívida) enquanto prepara o ambiente para a execução do stealer em Python.

Estágio final: preparação do ambiente Python

Ambas as cadeias convergem para o mesmo comportamento de preparação: o loader baixa um runtime empacotado do Python 3.12, um arquivo de payload protegido por PyArmor e o script get-pip.py para instalar dependências. Tudo isso é armazenado sob o diretório “AppData\WindowsHelper”, e a persistência é garantida por um arquivo VBScript combinado com uma tarefa agendada, batizada “WindowsHelper”, configurada para disparar a cada cinco minutos.

BusySnake Stealer: anatomia técnica do malware

O BusySnake Stealer é o núcleo da campanha: um infostealer escrito em Python, voltado exclusivamente para sistemas Windows, e projetado com um nível de engenharia antianálise que chama atenção mesmo entre pesquisadores experientes.

Proteção de código: o payload principal, um arquivo module.pyw (a extensão .pyw evita a abertura de uma janela de console visível), é protegido com PyArmor Pro 9.2.0. O bytecode é decriptado dinamicamente apenas no momento exato em que uma função é chamada, e recriptado imediatamente depois do uso, uma técnica que complica significativamente a análise estática e a inspeção em sandbox.

Arquitetura baseada em handlers: o malware usa um mecanismo de bloqueio de instância única, implementado com um algoritmo de arquivo de trava personalizado, e organiza sua funcionalidade em múltiplos handlers especializados, cada um responsável por uma tarefa específica:

  • Captura contínua da área de transferência (clipboard)
  • Inventário recursivo de arquivos do usuário em um banco de dados SQLite local, com varredura em busca de chaves hexadecimais de 64 caracteres (indicativo de chaves privadas de criptomoedas)
  • Exfiltração seletiva de documentos das pastas Desktop, Documents e Downloads, filtrados por tamanho (abaixo de 5 MB) e caminho
  • Captura e arquivamento de screenshots
  • Loop persistente de checagem junto ao servidor de comando e controle (C2)

Comunicação com o C2: ao contrário de canais sofisticados baseados em blockchain ou criptografia avançada, o BusySnake usa requisições HTTP GET simples, com um User-Agent que imita um navegador legítimo, para transmitir identificadores do cliente e receber, em resposta, nomes de funções a serem executadas. Essa simplicidade deliberada ajuda o tráfego a se misturar com navegação web comum em qualquer rede corporativa do mundo.

Capacidades completas: com base em comandos recebidos do C2, o BusySnake pode capturar screenshots, registrar dados de teclado (keylogging), descriptografar senhas armazenadas em navegadores baseados em Chromium (via DPAPI do Windows) e no Firefox (via chamadas PK11SDR_Decrypt), extrair cookies de navegadores, procurar segredos de autenticação em duas etapas ao monitorar URIs do tipo otpauth:// na área de transferência, localizar carteiras de criptomoedas, coletar sessões e credenciais do Telegram, estabelecer um túnel SSH reverso e reiniciar o RustDesk para capturar as credenciais de reconexão do usuário.

O recurso do túnel SSH reverso merece destaque à parte: em campanhas anteriores do grupo, essa função existia como uma ferramenta separada, chamada Go2Tunnel. Na versão atual, essa capacidade foi absorvida diretamente pelo próprio BusySnake, que agora recebe do servidor C2 tanto o comando para estabelecer o túnel quanto a chave SSH privada necessária, dando aos atacantes acesso remoto interativo persistente sobre o sistema comprometido.

Já a função de acesso remoto via RustDesk funciona de forma particularmente enganosa: se o RustDesk não estiver instalado na máquina da vítima, o BusySnake faz o download da ferramenta diretamente do GitHub. Caso já esteja presente, o malware reinicia o processo, forçando o usuário a reinserir seu ID e senha de reconexão, e captura uma tela desse momento exato para exfiltrar as credenciais.

Sinais de desenvolvimento assistido por IA

Um dos achados mais relevantes do relatório da Kaspersky, e que a Dolutech já vinha monitorando em outras campanhas ao redor do mundo, é a evidência de que os loaders de primeiro estágio foram gerados com apoio de modelos de linguagem. Os pesquisadores identificaram comentários verbosos no código, uso de emojis em formato de marcadores e blocos de código redundantes, características estilísticas consistentes com geração por IA e bastante incomuns em malware escrito manualmente por desenvolvedores experientes.

Esse padrão não é exclusivo do Armored Likho. Times de pesquisa como o Arctic Wolf Labs já documentaram a mesma assinatura em mais de 22 mil arquivos analisados entre fevereiro de 2025 e fevereiro de 2026, em amostras vinculadas a diferentes idiomas e regiões. O uso de IA para gerar código embaralha as impressões digitais estilísticas tradicionalmente usadas para atribuir malware a um autor específico, já que o modelo de linguagem reflete padrões de seu próprio treinamento, e não os hábitos de um desenvolvedor individual. Isso complica diretamente o trabalho de atribuição de equipes de threat intelligence em qualquer país, e é um fator que a Dolutech acredita que deve preocupar analistas SOC globalmente daqui para frente.

Mapeamento MITRE ATT&CK

TáticaTécnicaDetalhe observado
Initial AccessT1566 (Phishing)E-mails com iscas de comunicados oficiais e ajuda humanitária
Initial AccessT1204 (User Execution)Execução manual de dropper NSIS ou atalho LNK
ExecutionT1059.001 (PowerShell)Comando ofuscado disparado via rundll32.exe
PersistenceT1053.005 (Scheduled Task)Tarefa “WindowsHelper” a cada 5 minutos
Defense EvasionT1027 (Obfuscated Files or Information)Bytecode protegido com PyArmor Pro, decriptado sob demanda
Credential AccessT1555 (Credentials from Password Stores)Extração via DPAPI (Chromium) e PK11SDR_Decrypt (Firefox)
CollectionT1115 (Clipboard Data)Monitoramento contínuo da área de transferência
CollectionT1113 (Screen Capture)Captura e arquivamento de screenshots
Command and ControlT1071 (Application Layer Protocol)Requisições HTTP GET com User-Agent de navegador
Command and ControlT1572 (Protocol Tunneling)Túnel SSH reverso embutido no próprio stealer

Indicadores de Comprometimento (IoCs)

TipoIndicador
PersistênciaTarefa agendada nomeada “WindowsHelper”
Caminho de staging%APPDATA%\WindowsHelper
Payload principalmodule.pyw (protegido com PyArmor Pro 9.2.0)
Vulnerabilidade exploradaCVE-2025-9491 / ZDI-CAN-25373 (arquivos LNK)
Nome de arquivo de iscapsihologicheskiy_test.zip / zayavka_gumanitarnayapomosch.rar
Ferramenta de acesso remotoRustDesk (reinstalado ou reiniciado pelo malware)

Como sempre reforçamos aqui na Dolutech, trate esses indicadores como ponto de partida para threat hunting, e não como lista definitiva. Valide contra o relatório completo publicado na Securelist e contra feeds de inteligência atualizados antes de qualquer bloqueio em produção, já que a infraestrutura de campanha muda com frequência.

Exemplo prático: consulta de threat hunting

Para equipes de SOC que utilizam KQL (Kusto Query Language) em ambientes Microsoft Sentinel ou Defender for Endpoint, uma consulta inicial para caçar essa tarefa agendada específica seria semelhante a esta:

DeviceProcessEvents
| where FileName =~ "schtasks.exe" or FileName =~ "taskeng.exe"
| where ProcessCommandLine has "WindowsHelper"
| project Timestamp, DeviceName, AccountName, ProcessCommandLine, InitiatingProcessFileName
| order by Timestamp desc

Complementarmente, vale monitorar a criação de processos Python originados de dentro de %APPDATA%, algo raro em estações de trabalho comuns fora de ambientes de desenvolvimento:

DeviceProcessEvents
| where FileName in~ ("python.exe", "pythonw.exe")
| where FolderPath has "AppData"
| where InitiatingProcessFileName =~ "wscript.exe" or InitiatingProcessFileName =~ "cscript.exe"
| project Timestamp, DeviceName, FolderPath, ProcessCommandLine

Ajuste os nomes de tabela e campos conforme a sua plataforma de EDR ou SIEM. O princípio de caça continua válido em qualquer ecossistema de segurança, não apenas no Microsoft: procure por interpretadores de script incomuns lançados a partir de diretórios de usuário, combinados com a criação de tarefas agendadas de curto intervalo.

Um padrão global, não um incidente isolado

O caso do Armored Likho não deve ser lido isoladamente. Relatórios recentes de organizações como o Fórum Econômico Mundial e a PwC apontam que ataques contra infraestrutura energética estão em ascensão consistente em praticamente todas as regiões do planeta, impulsionados por tensões geopolíticas, pela convergência crescente entre redes de TI e sistemas de tecnologia operacional (OT), e pela adoção de nuvem em ambientes industriais que antes operavam isolados.

Segundo dados citados por analistas do setor, cerca de 60% dos ataques contra infraestrutura crítica no mundo são atribuídos a agentes estatais, e utilitárias de energia nos Estados Unidos registraram um aumento de quase 70% em ataques cibernéticos entre 2023 e 2024. Esse pano de fundo ajuda a explicar por que um grupo como o Armored Likho escolhe justamente agências governamentais e operadoras elétricas: são alvos de alto valor estratégico, com potencial de impacto direto na vida cotidiana de milhões de pessoas caso uma operação de espionagem evolua para sabotagem.

Implicações regulatórias ao redor do mundo

O caráter de infraestrutura crítica dos alvos coloca essa campanha diretamente no radar de frameworks regulatórios em diferentes jurisdições.

Na União Europeia, a diretiva NIS2 impõe obrigações reforçadas de notificação de incidentes e gestão de risco para operadores de infraestrutura essencial, categoria que inclui expressamente o setor de energia, complementada pelo Cyber Resilience Act, que estabelece padrões de preparação cibernética específicos para operadores críticos. Organizações do setor elétrico na Europa devem tratar campanhas como essa como um lembrete direto de suas obrigações de reporte junto às autoridades nacionais competentes, com o CNCS e o CERT.PT servindo de referência em Portugal.

No Brasil, a LGPD exige que controladores e operadores adotem medidas técnicas e administrativas compatíveis com o risco de qualquer tratamento de dados pessoais, o que torna um stealer como o BusySnake, capaz de coletar credenciais, sessões de Telegram e dados de navegador, diretamente relevante para qualquer avaliação de conformidade, com a ANPD atuando como órgão fiscalizador. Já nos Estados Unidos, agências como o Departamento de Energia e a CISA vêm reforçando exigências de resiliência cibernética para operadores de rede elétrica, refletindo a mesma preocupação regulatória observada em outras regiões do mundo.

O denominador comum, independentemente da jurisdição, é claro: infraestrutura crítica está sendo tratada, cada vez mais, como um ativo de segurança nacional, e não apenas como um ativo corporativo comum.

Como mitigar: recomendações práticas da Dolutech

Diante da natureza ativa e em evolução dessa campanha, a Dolutech reforça um conjunto de medidas prioritárias para equipes de segurança de infraestrutura crítica em qualquer país:

Primeiro, confirme a atualização do Windows. Verifique se todos os sistemas Windows receberam a atualização cumulativa de novembro de 2025 (ou posterior) que corrige o comportamento explorado pela CVE-2025-9491. Sistemas que não receberam essa atualização continuam vulneráveis à técnica de ocultação de comandos em arquivos LNK, que já foi usada por pelo menos 11 outros grupos patrocinados por estados desde 2017. Para sistemas legados que não podem ser atualizados imediatamente, a 0patch oferece um micropatch que bloqueia a execução de arquivos .lnk com campos Target acima de 260 caracteres.

Segundo, audite tarefas agendadas. Procure especificamente por entradas com nomes como “WindowsHelper” ou que disparem a execução do interpretador Python, um artefato bastante distintivo e fácil de caçar em telemetria de EDR.

Terceiro, monitore conexões SSH de saída incomuns. Endpoints que normalmente não têm motivo legítimo para iniciar conexões SSH reversas merecem investigação imediata, já que esse é o mecanismo usado pelo BusySnake para dar acesso remoto interativo ao atacante.

Quarto, reforce a proteção de credenciais além do sistema operacional. Como o malware extrai senhas armazenadas via DPAPI e PK11SDR_Decrypt, considere camadas adicionais de proteção, como gerenciadores de senha com autenticação multifator e chaves de hardware, em vez de depender exclusivamente da proteção nativa do navegador ou do sistema operacional.

Quinto, treine equipes contra as iscas específicas dessa campanha. Como os e-mails de phishing usam temas de comunicados oficiais de governo e formulários de ajuda humanitária, o treinamento de conscientização deve incluir exemplos concretos desses vetores, adaptados ao idioma e ao contexto local de cada organização.

Sexto, restrinja a execução de scripts e de arquivos LNK. Onde for possível, bloqueie ou controle rigorosamente a execução de arquivos de atalho vindos de mídia removível ou anexos de e-mail, e reforce políticas de execução de scripts PowerShell nas estações de trabalho.

Sétimo, avalie a segmentação entre TI e OT. Como a convergência entre redes corporativas e sistemas de tecnologia operacional é um dos fatores que ampliam a superfície de ataque contra o setor de energia globalmente, garanta que uma eventual infecção via BusySnake em uma estação administrativa não tenha caminho direto até sistemas de controle industrial.

Conclusão

Nós, da Dolutech, entendemos que o caso do Armored Likho e do BusySnake Stealer representa um retrato bastante preciso do estado atual das ameaças contra infraestrutura crítica em escala global: um agente ainda não completamente atribuído, técnicas de evasão maduras, uso comprovado de inteligência artificial na geração de código malicioso, e um padrão de vítimas que reflete uma tendência mundial de ataques cada vez mais frequentes contra o setor de energia e agências governamentais. Essa combinação exige atenção redobrada de equipes de segurança em qualquer continente, que devem tratar esta campanha como ativa e em evolução, não como um incidente isolado já encerrado.

A Dolutech continuará monitorando novos desenvolvimentos dessa campanha e de outras ameaças relacionadas, trazendo sempre contexto técnico aprofundado e recomendações práticas para profissionais de segurança em Portugal, no Brasil e em toda a comunidade lusófona ao redor do mundo.

Conheça nosso Canal do Youtube
Escute Nosso DoluCast
Melhores da Semana