Armored Likho: nuevo grupo de ciberespionaje usa BusySnake para atacar gobiernos

Iniciado por Dragora, Julio 03, 2026, 11:54:33 AM

Tema anterior - Siguiente tema

0 Miembros y 5 Visitantes están viendo este tema.


Las amenazas persistentes avanzadas (APT) continúan evolucionando con herramientas cada vez más sofisticadas para comprometer infraestructuras críticas. Investigadores de Kaspersky han revelado la existencia de un actor de amenazas previamente desconocido denominado Armored Likho, un grupo que combina campañas de ciberespionaje con operaciones de motivación financiera dirigidas tanto a organismos gubernamentales como a empresas del sector energético.

La investigación indica que este grupo ha llevado a cabo ataques contra organizaciones de Rusia, Brasil y Kazajistán, utilizando un arsenal compuesto por RATs modulares, herramientas de tunelización, malware especializado para el robo de información y avanzadas técnicas de evasión que dificultan significativamente su detección por soluciones tradicionales de seguridad.

Uno de los hallazgos más relevantes es la aparición de BusySnake Stealer, un nuevo malware desarrollado en Python capaz de robar credenciales, cookies, información de navegadores, sesiones de Telegram, billeteras de criptomonedas y establecer persistencia en los sistemas comprometidos.

Kaspersky identifica una nueva campaña de ciberespionaje

Según el análisis técnico de Kaspersky, Armored Likho representa una amenaza híbrida que combina el espionaje dirigido con actividades financieras ilícitas.

A diferencia de muchos grupos APT especializados en un único objetivo, Armored Likho adapta sus campañas dependiendo del perfil de la víctima, utilizando herramientas modulares que permiten desplegar únicamente las capacidades necesarias para cada ataque.

Los investigadores destacan que el grupo emplea:

  • RATs modulares altamente ofuscados.
  • Malware especializado en robo de información.
  • Herramientas de acceso remoto.
  • Técnicas avanzadas de persistencia.
  • Infraestructura flexible para distribuir módulos adicionales según el entorno comprometido.

Este enfoque permite mantener acceso prolongado a las redes corporativas mientras se recopila información sensible sin levantar sospechas.

Posibles vínculos con Eagle Werewolf

Kaspersky también encontró importantes coincidencias entre Armored Likho y un grupo conocido como Eagle Werewolf, monitoreado previamente por You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login desde mayo de 2023.

Eagle Werewolf ha centrado históricamente sus operaciones en:

  • Organismos gubernamentales.
  • Empresas del sector defensa.
  • Fabricantes de drones (UAV).
  • Infraestructuras críticas.

Entre las similitudes identificadas destacan:

  • Uso de herramientas Go2Tunnel.
  • Empleo de RATs personalizados.
  • Persistencia mediante tareas programadas.
  • Técnicas similares para establecer túneles SSH inversos.
  • Comunicación con servidores C2 utilizando arquitecturas prácticamente idénticas.

Aunque todavía no existe una atribución definitiva, las evidencias técnicas apuntan a una estrecha relación entre ambos grupos.

BusySnake Stealer: el nuevo malware basado en Python

Uno de los descubrimientos más importantes del informe es BusySnake Stealer, un malware hasta ahora desconocido que ha sido diseñado específicamente para sistemas Windows.

Su principal objetivo consiste en obtener acceso persistente y recopilar la mayor cantidad posible de información de los equipos infectados.

Entre sus principales funciones se encuentran:

  • Robo de datos almacenados en el portapapeles.
  • Enumeración completa de archivos del sistema.
  • Recolección de metadatos.
  • Exfiltración automática de documentos.
  • Captura de pantallas.
  • Eliminación de rastros tras completar las operaciones.
  • Prevención de múltiples instancias simultáneas.
  • Persistencia automática mediante tareas programadas.

Además, incorpora un módulo especializado para extraer cookies de navegadores basados en Chromium y Firefox, junto con las contraseñas almacenadas.

El ataque comienza con campañas de spear phishing

La cadena de infección inicia mediante campañas de spear phishing cuidadosamente diseñadas.

Los atacantes distribuyen correos electrónicos que aparentan proceder de organismos gubernamentales o relacionados con programas sociales.

Los mensajes contienen archivos comprimidos en formato RAR que incluyen ejecutables maliciosos.

Cuando la víctima abre el archivo:

  • Se ejecuta un dropper.
  • Se descargan cargas útiles adicionales desde GitHub.
  • Se instala BusySnake Stealer.
  • Se crean scripts VBScript.
  • Se registra una tarea programada para garantizar la persistencia.

El uso de GitHub como plataforma de distribución permite ocultar parcialmente la actividad maliciosa dentro de servicios ampliamente utilizados.

Abuso de una vulnerabilidad corregida por Microsoft

Kaspersky también documentó variantes del ataque que sustituyen los ejecutables por accesos directos Windows LNK.

Estas cadenas aprovechan la vulnerabilidad CVE-2025-9491, también conocida como ZDI-CAN-25373, una falla corregida por Microsoft durante el Patch Tuesday de noviembre de 2025.

La vulnerabilidad permite ejecutar comandos PowerShell ofuscados cuando el usuario interactúa con un archivo LNK especialmente manipulado.

El ataque realiza las siguientes acciones:

  • Ejecuta código PowerShell oculto.
  • Descarga un cargador adicional.
  • Abre un documento señuelo para distraer al usuario.
  • Instala BusySnake.
  • Configura mecanismos de persistencia.

Investigaciones anteriores demostraron que esta vulnerabilidad había sido explotada por numerosos grupos de amenazas desde 2017.

Capacidades avanzadas de BusySnake

BusySnake incorpora numerosas funciones controladas remotamente desde el servidor de comando y control (C2).

Entre ellas destacan:

  • Capturas periódicas de pantalla.
  • Registro de pulsaciones del teclado (keylogging).
  • Robo de archivos JSON utilizados por billeteras de criptomonedas.
  • Obtención de sesiones activas de Telegram.
  • Robo de credenciales.
  • Instalación remota de RustDesk.
  • Creación de túneles SSH inversos mediante Go2Tunnel.

El malware puede adaptarse dinámicamente dependiendo de las instrucciones recibidas desde el servidor C2, aumentando considerablemente su flexibilidad operativa.

Robo de credenciales mediante RustDesk

Una característica especialmente llamativa consiste en el uso del software de escritorio remoto RustDesk.

Si la aplicación ya está instalada en el equipo comprometido, BusySnake la inicia automáticamente y solicita a la víctima que introduzca nuevamente sus credenciales.

En ese momento:

  • El malware captura una imagen de la pantalla.
  • La captura es enviada inmediatamente al servidor C2.
  • Los operadores obtienen las credenciales necesarias para controlar remotamente el equipo.

Esta técnica demuestra el elevado nivel de sofisticación alcanzado por Armored Likho para obtener acceso persistente.

Técnicas avanzadas para evadir la detección

Uno de los aspectos más innovadores del malware es su arquitectura de evasión.

Según Kaspersky, BusySnake:

  • Descifra dinámicamente únicamente el bytecode necesario durante la ejecución.
  • Vuelve a cifrar automáticamente el código una vez utilizada cada función.
  • Se ejecuta como archivo .PYW, evitando mostrar ventanas de consola.
  • Utiliza múltiples capas de ofuscación en Python.
  • Minimiza los indicadores que suelen detectar las soluciones EDR.

Estas técnicas dificultan tanto el análisis estático como el análisis dinámico realizado por investigadores y plataformas antimalware.

Una nueva arquitectura basada en gestión dinámica de tareas

Las versiones más recientes de BusySnake incorporan un sistema completamente renovado para administrar las tareas recibidas desde el servidor C2.

Cada instrucción se clasifica automáticamente mediante estados como:

  • PROGRAMADO
  • IN_PROGRESS
  • EXITOSO
  • FALLIDO

Este mecanismo permite a los operadores monitorizar en tiempo real el progreso de cada acción ejecutada sobre los equipos comprometidos y mejorar la coordinación de sus campañas.

Inteligencia artificial en el desarrollo del malware

Otro aspecto destacado del informe es la posible utilización de inteligencia artificial (IA) para desarrollar parte de las cargas maliciosas.

Los investigadores encontraron:

  • Comentarios innecesarios.
  • Bloques redundantes de código.
  • Patrones de programación compatibles con herramientas generativas.

Aunque no existe confirmación absoluta, estos indicios sugieren que los desarrolladores podrían haber empleado asistentes basados en IA para acelerar la creación de los cargadores iniciales.

Esta tendencia comienza a observarse con mayor frecuencia en campañas avanzadas de cibercriminales y grupos de espionaje.

Go2Tunnel evoluciona y se integra directamente en el malware

Tradicionalmente, Go2Tunnel funcionaba como una utilidad independiente para establecer túneles SSH inversos.

Sin embargo, Kaspersky descubrió que Armored Likho ha integrado directamente esta funcionalidad dentro de BusySnake.

Ahora el malware puede:

  • Crear túneles cifrados sin depender de herramientas externas.
  • Recibir los parámetros directamente desde el servidor C2.
  • Mantener comunicaciones persistentes con la infraestructura de los atacantes.
  • Reducir el número de archivos desplegados durante la infección.

Esta integración disminuye significativamente los indicadores de compromiso y complica la detección por parte de las soluciones de seguridad.

Cómo protegerse frente a Armored Likho

Ante el creciente nivel de sofisticación de este grupo, las organizaciones deben reforzar sus controles de seguridad implementando medidas como:

  • Capacitar a los empleados para identificar campañas de spear phishing.
  • Aplicar de forma inmediata todas las actualizaciones de seguridad de Microsoft.
  • Supervisar la creación de tareas programadas sospechosas.
  • Restringir la ejecución de PowerShell y VBScript cuando no sean necesarios.
  • Implementar soluciones EDR con capacidades de detección de comportamiento.
  • Monitorizar conexiones SSH inversas no autorizadas.
  • Revisar continuamente el acceso a repositorios externos como GitHub.
  • Proteger credenciales mediante autenticación multifactor y políticas de acceso condicional.

En fin...

La aparición de Armored Likho confirma que las campañas modernas de ciberespionaje evolucionan hacia operaciones cada vez más complejas y adaptables. La combinación de BusySnake Stealer, RATs modulares, Go2Tunnel, técnicas avanzadas de ofuscación, persistencia automatizada y el posible uso de inteligencia artificial convierte a este grupo en una amenaza significativa para gobiernos, infraestructuras críticas y organizaciones del sector energético.

El informe de Kaspersky demuestra que los actores de amenazas no solo perfeccionan constantemente sus herramientas, sino que también integran nuevas capacidades directamente en el malware para reducir su huella y aumentar la eficacia de sus ataques. Frente a este escenario, mantener una estrategia de defensa en profundidad, una gestión rigurosa de parches y una monitorización continua de los entornos corporativos será clave para mitigar el riesgo de compromisos avanzados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login