Underc0de - La Casa de los Informáticos

Foros Generales => Noticias Informáticas => Mensaje iniciado por: Dragora en Julio 03, 2026, 11:54:33 AM

Título: Armored Likho: nuevo grupo de ciberespionaje usa BusySnake para atacar gobiernos
Publicado por: Dragora en Julio 03, 2026, 11:54:33 AM
(https://i.imgur.com/QZDkO82.jpeg)

Las amenazas persistentes avanzadas (APT) continúan evolucionando con herramientas cada vez más sofisticadas para comprometer infraestructuras críticas. Investigadores de Kaspersky han revelado la existencia de un actor de amenazas previamente desconocido denominado Armored Likho, un grupo que combina campañas de ciberespionaje con operaciones de motivación financiera dirigidas tanto a organismos gubernamentales como a empresas del sector energético.

La investigación indica que este grupo ha llevado a cabo ataques contra organizaciones de Rusia, Brasil y Kazajistán, utilizando un arsenal compuesto por RATs modulares, herramientas de tunelización, malware especializado para el robo de información y avanzadas técnicas de evasión que dificultan significativamente su detección por soluciones tradicionales de seguridad.

Uno de los hallazgos más relevantes es la aparición de BusySnake Stealer, un nuevo malware desarrollado en Python capaz de robar credenciales, cookies, información de navegadores, sesiones de Telegram, billeteras de criptomonedas y establecer persistencia en los sistemas comprometidos.

Kaspersky identifica una nueva campaña de ciberespionaje

Según el análisis técnico de Kaspersky, Armored Likho representa una amenaza híbrida que combina el espionaje dirigido con actividades financieras ilícitas.

A diferencia de muchos grupos APT especializados en un único objetivo, Armored Likho adapta sus campañas dependiendo del perfil de la víctima, utilizando herramientas modulares que permiten desplegar únicamente las capacidades necesarias para cada ataque.

Los investigadores destacan que el grupo emplea:


Este enfoque permite mantener acceso prolongado a las redes corporativas mientras se recopila información sensible sin levantar sospechas.

Posibles vínculos con Eagle Werewolf

Kaspersky también encontró importantes coincidencias entre Armored Likho y un grupo conocido como Eagle Werewolf, monitoreado previamente por BI.ZONE desde mayo de 2023.

Eagle Werewolf ha centrado históricamente sus operaciones en:


Entre las similitudes identificadas destacan:


Aunque todavía no existe una atribución definitiva, las evidencias técnicas apuntan a una estrecha relación entre ambos grupos.

BusySnake Stealer: el nuevo malware basado en Python

Uno de los descubrimientos más importantes del informe es BusySnake Stealer, un malware hasta ahora desconocido que ha sido diseñado específicamente para sistemas Windows.

Su principal objetivo consiste en obtener acceso persistente y recopilar la mayor cantidad posible de información de los equipos infectados.

Entre sus principales funciones se encuentran:


Además, incorpora un módulo especializado para extraer cookies de navegadores basados en Chromium y Firefox, junto con las contraseñas almacenadas.

El ataque comienza con campañas de spear phishing

La cadena de infección inicia mediante campañas de spear phishing cuidadosamente diseñadas.

Los atacantes distribuyen correos electrónicos que aparentan proceder de organismos gubernamentales o relacionados con programas sociales.

Los mensajes contienen archivos comprimidos en formato RAR que incluyen ejecutables maliciosos.

Cuando la víctima abre el archivo:


El uso de GitHub como plataforma de distribución permite ocultar parcialmente la actividad maliciosa dentro de servicios ampliamente utilizados.

Abuso de una vulnerabilidad corregida por Microsoft

Kaspersky también documentó variantes del ataque que sustituyen los ejecutables por accesos directos Windows LNK.

Estas cadenas aprovechan la vulnerabilidad CVE-2025-9491, también conocida como ZDI-CAN-25373, una falla corregida por Microsoft durante el Patch Tuesday de noviembre de 2025.

La vulnerabilidad permite ejecutar comandos PowerShell ofuscados cuando el usuario interactúa con un archivo LNK especialmente manipulado.

El ataque realiza las siguientes acciones:


Investigaciones anteriores demostraron que esta vulnerabilidad había sido explotada por numerosos grupos de amenazas desde 2017.

Capacidades avanzadas de BusySnake

BusySnake incorpora numerosas funciones controladas remotamente desde el servidor de comando y control (C2).

Entre ellas destacan:


El malware puede adaptarse dinámicamente dependiendo de las instrucciones recibidas desde el servidor C2, aumentando considerablemente su flexibilidad operativa.

Robo de credenciales mediante RustDesk

Una característica especialmente llamativa consiste en el uso del software de escritorio remoto RustDesk.

Si la aplicación ya está instalada en el equipo comprometido, BusySnake la inicia automáticamente y solicita a la víctima que introduzca nuevamente sus credenciales.

En ese momento:


Esta técnica demuestra el elevado nivel de sofisticación alcanzado por Armored Likho para obtener acceso persistente.

Técnicas avanzadas para evadir la detección

Uno de los aspectos más innovadores del malware es su arquitectura de evasión.

Según Kaspersky, BusySnake:


Estas técnicas dificultan tanto el análisis estático como el análisis dinámico realizado por investigadores y plataformas antimalware.

Una nueva arquitectura basada en gestión dinámica de tareas

Las versiones más recientes de BusySnake incorporan un sistema completamente renovado para administrar las tareas recibidas desde el servidor C2.

Cada instrucción se clasifica automáticamente mediante estados como:


Este mecanismo permite a los operadores monitorizar en tiempo real el progreso de cada acción ejecutada sobre los equipos comprometidos y mejorar la coordinación de sus campañas.

Inteligencia artificial en el desarrollo del malware

Otro aspecto destacado del informe es la posible utilización de inteligencia artificial (IA) para desarrollar parte de las cargas maliciosas.

Los investigadores encontraron:


Aunque no existe confirmación absoluta, estos indicios sugieren que los desarrolladores podrían haber empleado asistentes basados en IA para acelerar la creación de los cargadores iniciales.

Esta tendencia comienza a observarse con mayor frecuencia en campañas avanzadas de cibercriminales y grupos de espionaje.

Go2Tunnel evoluciona y se integra directamente en el malware

Tradicionalmente, Go2Tunnel funcionaba como una utilidad independiente para establecer túneles SSH inversos.

Sin embargo, Kaspersky descubrió que Armored Likho ha integrado directamente esta funcionalidad dentro de BusySnake.

Ahora el malware puede:


Esta integración disminuye significativamente los indicadores de compromiso y complica la detección por parte de las soluciones de seguridad.

Cómo protegerse frente a Armored Likho

Ante el creciente nivel de sofisticación de este grupo, las organizaciones deben reforzar sus controles de seguridad implementando medidas como:


En fin...

La aparición de Armored Likho confirma que las campañas modernas de ciberespionaje evolucionan hacia operaciones cada vez más complejas y adaptables. La combinación de BusySnake Stealer, RATs modulares, Go2Tunnel, técnicas avanzadas de ofuscación, persistencia automatizada y el posible uso de inteligencia artificial convierte a este grupo en una amenaza significativa para gobiernos, infraestructuras críticas y organizaciones del sector energético.

El informe de Kaspersky demuestra que los actores de amenazas no solo perfeccionan constantemente sus herramientas, sino que también integran nuevas capacidades directamente en el malware para reducir su huella y aumentar la eficacia de sus ataques. Frente a este escenario, mantener una estrategia de defensa en profundidad, una gestión rigurosa de parches y una monitorización continua de los entornos corporativos será clave para mitigar el riesgo de compromisos avanzados.

Fuente: https://www.bleepingcomputer.com/