Недокументирана досега група за заплахи, известна като Armored Likho, беше свързана с кибератаки, насочени към правителствени агенции и електроенергийния сектор в Русия, Бразилия и Казахстан.

„Armored Likho съчетава финансово мотивирани кампании, насочени към частни лица, с целеви кибершпионаж срещу организации“, посочва Kaspersky в технически анализ. „Техният инструментариум включва обфускирани модулни RAT (троянци за отдалечен достъп) и инфостийлъри, специално проектирани да заобикалят динамичния анализ.“

Атаките се характеризират и с използването на инструменти като Go2Tunnel за отдалечен достъп и мрежово тунелиране. Широкото разнообразие от инструменти позволява на атакуващите да поддържат постоянен достъп до компрометираните хостове, да крадат идентификационни данни и чувствителна информация, както и динамично да доставят модули, съобразени с профила на жертвата.

Според Kaspersky, Armored Likho вероятно се застъпва с групата за заплахи, следена от BI.ZONE под името Eagle Werewolf, активна от май 2023 г. Тази група има история на атаки срещу правителствени и отбранителни организации, по-специално такива, участващи в разработката и производството на БЛА (дронове).

През февруари 2026 г. беше забелязано, че Eagle Werewolf компрометира Telegram канал, фокусиран върху дронове, за да разпространява AquilaRAT чрез Rust дропър, маскиран като списък с инструкции за активиране на устройства Starlink. Използва се и Go2Tunnel за установяване на обратен SSH тунел към сървър за управление и контрол (C2).

Последните разкрития показват, че групата използва и нов, неоткриван досега инфостийлър, базиран на Python, наречен BusySnake Stealer, насочен към системи с Windows. Една от версиите му включва модул за кражба на бисквитки от уеб браузъри.

Началната точка на атаката е фишинг имейл с примамки, свързани с официални правителствени известия или социални програми. Той разпространява RAR архив, съдържащ EXE файлове, които служат като дропъри за допълнителен зловреден софтуел, изтеглян от хранилище в GitHub.

Алтернативни вериги на заразяване използват преки пътища на Windows (LNK) вместо EXE файлове, експлоатирайки вече пачната уязвимост за отдалечено изпълнение на код, следена като CVE-2025-9491. Тя се използва за стартиране на обфускирана PowerShell команда, която подготвя средата за изпълнение на Python стийлъра.

Инфостийлърът BusySnake прилага множество техники за избягване на засичане. Неговите основни функции включват:

  • Кражба на данни от системния клипборд.
  • Изброяване на файлове в системата и записване на техните метаданни в локална база данни.
  • Качване на потребителски документи в C2 сървъра.
  • Заснемане на екрана (скрийншотове).
  • Осигуряване на персистентност чрез VBScript файлове и планирани задачи (Scheduled Tasks).

Освен това, чрез команди от C2 сървъра, зловредният софтуер може да записва натисканията на клавиши (keylogging), да събира файлове от криптовалутни портфейли с разширение .json, сесии в Telegram, да инсталира RustDesk за отдалечен контрол и да извлича пароли и бисквитки от Mozilla Firefox и браузъри на базата на Chromium.