Un actor de amenazas previamente indocumentado conocido como Likho blindado se ha atribuido a ataques cibernéticos dirigidos a agencias gubernamentales y al sector de energía eléctrica en Rusia, Brasil y Kazajstán.
«Armored Likho combina campañas motivadas financieramente dirigidas a particulares con ciberespionaje dirigido a organizaciones», Kaspersky dicho en un análisis técnico publicado hoy. «Su conjunto de herramientas incluye RAT modulares ofuscados y ladrones de información diseñados específicamente para eludir el análisis dinámico».
Los ataques también se caracterizan por el uso de herramientas como Go2Tunnel para acceso remoto y tunelización de red. La amplia variedad de herramientas en su arsenal permite al actor de amenazas mantener un acceso persistente a los hosts comprometidos, robar credenciales y datos confidenciales y entregar dinámicamente módulos adaptados al perfil de la víctima.
El proveedor ruso de ciberseguridad dijo que Armored Likho comparte posibles superposiciones con un grupo de amenazas rastreado por BI.ZONE bajo el nombre de Eagle Werewolf, que ha estado activo desde mayo de 2023. El grupo de hackers tiene un historial de apuntar a organizaciones gubernamentales y de defensa, específicamente aquellas involucradas en el desarrollo y fabricación de vehículos aéreos no tripulados, utilizando cuentagotas, troyanos de acceso remoto (RAT) y utilidades para establecer túneles SSH.
«Los actores de amenazas pueden utilizar canales de Telegram comprometidos para distribuir el malware», BI.ZONE notas en su descripción del actor de la amenaza. «Si bien la principal motivación del grupo es el ciberespionaje, también se han registrado campañas destinadas a robar fondos a las víctimas».
En febrero de 2026, se observó a Eagle Werewolf comprometiendo un canal de Telegram centrado en drones para distribuir AquilaRAT a través de un cuentagotas Rust que se hace pasar por una lista de verificación para la activación del dispositivo Starlink. También se utiliza en los ataques Go2Tunnel para establecer un túnel SSH inverso a un servidor de comando y control (C2) utilizando una clave privada.
Los últimos hallazgos muestran que el actor de amenazas también ha empleado un ladrón de información basado en Python no reportado anteriormente llamado BusySnake Stealer dirigido a sistemas Windows, una versión del cual incluye un módulo para robar cookies de navegadores web. Los orígenes exactos del Likho Blindado siguen siendo desconocidos.
El punto de partida de la cadena de ataque es un correo electrónico de phishing que utiliza señuelos relacionados con avisos oficiales del gobierno o programas sociales para distribuir un archivo RAR que contiene binarios EXE que sirven como goteros para cargas útiles adicionales recuperadas de un repositorio de GitHub, incluida la carga útil del ladrón.
El malware dropper también crea dos archivos Visual Basic Script (VBScript) que son responsables de borrar los rastros de la ejecución inicial, así como de iniciar el ladrón mediante una tarea programada.
Las cadenas alternativas utilizan accesos directos de Windows (LNK) en lugar de cargas EXE que convierten en arma una vulnerabilidad ahora parcheada relacionada con la forma en que Windows maneja dichos archivos, lo que resulta en la ejecución remota de código. El defecto, rastreado como CVE-2025-9491 (también conocido como ZDI-CAN-25373) fue abordado por Microsoft como parte de sus actualizaciones del martes de parches para noviembre de 2025. La evidencia descubierta por Trend Micro el año pasado reveló que la deficiencia había sido utilizada como arma por una docena de grupos de piratas informáticos desde 2017.
En la cadena de ataque documentada por Kaspersky, se abusa de la vulnerabilidad del acceso directo para desencadenar la ejecución de un comando PowerShell ofuscado que lanza un cargador responsable de mostrar un documento señuelo, mientras prepara el entorno para la ejecución del ladrón de Python. Luego, el malware establece persistencia mediante una combinación de un archivo VBScript y una tarea programada, como antes.
El ladrón, llamado BusySnake, implementa múltiples técnicas de evasión para complicar el análisis estático y la detección de elusiones. Su objetivo principal es establecer comunicación con un servidor C2 y luego esperar instrucciones entrantes. También admite la siguiente funcionalidad:
- Robar datos del portapapeles del sistema.
- Enumere archivos en todo el sistema y registre sus metadatos en una base de datos local.
- Cargue documentos de usuario al servidor C2.
- Realice capturas de pantalla y colóquelas en un directorio local.
- Archive las capturas de pantalla capturadas y elimine los archivos creados previamente del disco.
- Evite que se ejecuten varias instancias del ladrón simultáneamente en el host infectado.
- Garantice la persistencia comprobando si la tarea programada existe y, en caso contrario, elimine un VBScript para registrar una nueva tarea programada.
Además, los comandos emitidos por el servidor C2 le permiten tomar capturas de pantalla en un intervalo designado, registrar datos de pulsaciones de teclas, recopilar archivos de billetera de criptomonedas con una extensión JSON, recopilar datos de credenciales y sesiones de Telegram, establecer un túnel SSH inverso usando Go2Tunnel, instalar RustDesk y extraer cookies de los navegadores basados en Mozilla Firefox y Chromium, junto con las contraseñas.
Si RustDesk ya está instalado en la máquina, se inicia el software de escritorio remoto de código abierto y se le solicita a la víctima que ingrese sus credenciales, luego de lo cual el ladrón toma una captura de pantalla de las credenciales y las filtra al servidor C2.
«El malware descifra dinámicamente su código de bytes sólo en el momento exacto en que se llama a una función, volviendo a cifrar los datos inmediatamente después», dijo Kaspersky. «Además, el malware se ejecuta en segundo plano sin generar una ventana de consola, como lo indica su extensión de archivo PYW».
Kaspersky dijo que también identificó una versión más nueva de BusySnake que itera sobre el diseño arquitectónico del predecesor para incluir un nuevo marco de administración de tareas para manejar los comandos C2 entrantes y asignarles dinámicamente estados operativos, como PROGRAMADO, EN PROGRESO, EXITOSO o FALLADO, para mejorar los informes al servidor.
Los vínculos del actor de amenazas con Eagle Werewolf también surgen de superposiciones entre AquilaRAT y BusySnake Stealer, particularmente en la forma en que ambas familias de malware reciben tareas del servidor C2, registran persistencia a través de tareas programadas y utilizan puntos finales similares para las comunicaciones C2.
También hay indicios de que las cargas útiles de la primera etapa, que comprenden cargadores y etapas, probablemente se generaron con la ayuda de herramientas de inteligencia artificial (IA), dada la presencia de comentarios y bloques de código redundantes.
«Esta campaña destaca varias tendencias concurrentes: la creciente madurez técnica de Armored Likho, el polimorfismo de herramientas y un cambio hacia esquemas más complejos destinados a eludir las soluciones de seguridad, que van desde la ofuscación del código fuente de Python hasta la incorporación de mecanismos de red directamente en el código de malware», dijo Kaspersky.
«En paralelo, el grupo está refinando y modificando agresivamente su conjunto de herramientas principal. Si bien Go2Tunnel anteriormente operaba como una utilidad independiente, su funcionalidad de túnel inverso ahora se ha integrado directamente en el ladrón como una característica incorporada que ingiere parámetros del servidor C2».





