Ambiente de cibersegurança com múltiplos terminais e monotorização de sistemas
🔒 Segurança

Armored Likho — novo grupo hacker usa IA para criar malware e ataca governos e redes elétricas

A Kaspersky revelou esta semana a existência de um novo grupo de ameaça persistente avançada (APT) que está a atacar agências governamentais e empresas do setor elétrico em três continentes. Batizado Armored Likho, o grupo usa um infostealer inédito escrito em Python — o BusySnake Stealer — e há indícios fortes de que parte do código foi gerada por inteligência artificial.

Quem é o Armored Likho?

Documentado pela primeira vez pela Kaspersky a 3 de julho de 2026, o Armored Likho é um grupo APT cujas origens exatas permanecem desconhecidas. O que os investigadores sabem é que o grupo conduz duas operações em paralelo: espionagem cibernética direcionada a infraestruturas críticas e roubo de credenciais com motivação financeira contra particulares. Esta dualidade — algo raro em APT puros — sugere que o grupo pode estar a vender dados no mercado negro para financiar as suas operações de espionagem, num modelo semelhante ao do APT41 (Double Dragon).

Os alvos confirmados distribuem-se por três países sem alinhamento geopolítico óbvio: Brasil, Rússia e Cazaquistão. A Kaspersky nota que o denominador comum não é ideológico — é o acesso a redes governamentais e do setor elétrico. Para um APT, a monitorização persistente de operadores de rede elétrica é terreno de alto valor: fornece inteligência sobre topologia da rede, procedimentos de resposta a apagões e dados de pessoal que podem ser usados para planear disrupções futuras.

O Armored Likho partilha sobreposições técnicas significativas com um cluster de ameaças rastreado pela empresa russa BI.ZONE sob o nome Eagle Werewolf, ativo desde maio de 2023. Esse grupo tem um histórico de atacar organizações governamentais e de defesa, especialmente as envolvidas no desenvolvimento e fabrico de veículos aéreos não tripulados (UAV).

Em fevereiro de 2026, o Eagle Werewolf foi observado a comprometer um canal do Telegram focado em drones para distribuir o AquilaRAT — um trojan de acesso remoto entregue através de um dropper em Rust disfarçado de lista de verificação para ativação de dispositivos Starlink. Um engodo contextualmente perfeito para o momento geopolítico.

Como o ataque funciona

O vetor de entrada é sempre o mesmo: spear-phishing. Os emails maliciosos imitam comunicações oficiais do governo ou mensagens sobre programas sociais, com anexos compactados (RAR) que contêm executáveis ou atalhos LNK maliciosos. A Kaspersky documentou duas cadeias de infeção distintas.

Na primeira, o ficheiro anexo é um executável NSIS (Nullsoft Scriptable Install System). Quando a vítima o abre, um programa isco — num caso documentado, um falso teste psicológico — é exibido para disfarçar a infeção. Em segundo plano, o dropper descarrega de um repositório GitHub o BusySnake propriamente dito, um interpretador Python 3.12 e o gestor de pacotes pip. Tudo é colocado numa pasta chamada WindowsHelper dentro do diretório AppData do utilizador.

Torres de alta tensão e linhas de transmissão elétrica ao pôr do sol

O setor elétrico é um dos principais alvos do Armored Likho. A monitorização persistente de operadores de rede fornece inteligência sobre topologia, procedimentos de resposta e dados de infraestrutura crítica.

Na segunda, o ataque explora a vulnerabilidade CVE-2025-9491 (também conhecida como ZDI-CAN-25373), uma falha nos ficheiros de atalho (.LNK) do Windows que permite esconder comandos maliciosos no campo Target usando espaços em branco — tornando-os invisíveis a quem inspeciona o ficheiro. A Microsoft corrigiu a falha no Patch Tuesday de novembro de 2025, depois de a Trend Micro a ter divulgado em março desse ano. A vulnerabilidade vinha a ser explorada desde 2017 por pelo menos 11 grupos de espionagem estatal da Coreia do Norte, Irão, Rússia e China.

Quando a vítima abre o atalho malicioso, o Windows executa um comando PowerShell ofuscado que descarrega o seguinte estágio e exibe um documento isco — formulários de ajuda humanitária, certificados de regularização de dívidas — enquanto o BusySnake é instalado.

O que o BusySnake Stealer faz

O BusySnake Stealer é escrito em Python e ofuscado com PyArmor Pro 9.2.0, uma ferramenta comercial de proteção de código que os atacantes reaproveitaram defensivamente. Em vez de encriptar todo o payload de uma vez, o PyArmor descarrega bytecodes individualmente no momento exato em que cada função é chamada, reencriptando-os de imediato — o que significa que uma análise de memória de um processo em execução encontra maioritariamente ruído encriptado.

Uma vez ativo, o BusySnake comunica com um servidor de comando e controlo (C2) e aguarda instruções. As suas capacidades incluem: roubo de palavras-passe armazenadas em navegadores Chromium (Chrome, Edge, Brave) e Firefox, usando a API de proteção de dados do Windows (DPAPI) e a biblioteca criptográfica NSS do Firefox; captura de conteúdo da área de transferência (incluindo códigos OTP e palavras-passe coladas); recolha de dados de sessão do Telegram (força a paragem do processo, comprime a pasta tdata e envia-a para o servidor, assumindo o controlo da identidade Telegram da vítima); localização de carteiras de criptomoedas no sistema; captura de ecrãs periódica; e exfiltração de documentos das pastas Ambiente de Trabalho, Documentos e Transferências com menos de 5 MB.

Para acesso remoto persistente, o BusySnake estabelece túneis SSH reversos — antes usava uma ferramenta Go separada chamada Go2Tunnel, mas essa funcionalidade está agora integrada diretamente no malware. Quando o servidor C2 envia um comando de túnel, o BusySnake contacta um domínio para receber uma chave SSH privada dinâmica e estabelece a ligação inversa, dando aos atacantes acesso interativo à máquina comprometida. Quando o túnel já não é necessário, a chave privada é apagada.

O código feito por IA

Um dos aspetos mais preocupantes do Armored Likho é a evidência de que os seus loaders de primeiro estágio foram gerados com recurso a modelos de linguagem de grande escala (LLMs). Os investigadores da Kaspersky identificaram comentários excessivamente verbosos, emojis em forma de bullet point e blocos de código redundantes — padrões estilísticos consistentes com saída de LLM e altamente inconsistentes com malware escrito por humanos.

Ecrã de computador com código de programação visível num editor

A Kaspersky encontrou indícios de que parte do código dos loaders do Armored Likho foi gerada por IA — comentários redundantes, emojis em bullet points e blocos de código desnecessários são marcas de LLM.

A Arctic Wolf Labs documentou a mesma assinatura em mais de 22.000 ficheiros num estudo contínuo entre fevereiro de 2025 e fevereiro de 2026, notando que amostras de origem brasileira e portuguesa continham frequentemente emojis nos comentários. As amostras do Armored Likho exibem a mesma característica.

A importância disto vai além do estilístico. A identificação de código por padrões estilísticos — convenções de nomenclatura de funções, padrões de espaçamento, vocabulário de comentários — é uma ferramenta primária para ligar novas amostras de malware a atores conhecidos. O código gerado por IA apaga essas impressões digitais porque o estilo reflete os dados de treino do modelo, não os hábitos de nenhum programador em particular. O relatório CrowdStrike Global Threat Report 2026 documentou um aumento de 89% em ataques habilitados por IA em 2025, e o Google Threat Intelligence Group confirmou que múltiplos atores estão a usar LLMs para gerar código de ofuscação e evasão.

Uma versão ainda mais furtiva

Durante a análise da infraestrutura, a Kaspersky descobriu uma versão mais recente do BusySnake com melhorias adicionais de evasão. Em vez de chamar o utilitário schtasks do Windows para criar a tarefa de persistência — um comportamento fortemente monitorizado por produtos de segurança modernos — a nova versão usa a interface COM do Windows, especificamente o objeto Schedule.Service através da biblioteca win32com.client do Python. A diferença é subtil mas significativa: invocações de schtasks são detetadas por qualquer EDR que se preze; a criação de tarefas via COM, usando a mesma interface que o Windows usa, é substancialmente mais difícil de distinguir de atividade legítima.

A nova versão introduz também um sistema de gestão de tarefas onde cada comando C2 recebe um identificador único e é rastreado através de quatro estados: SCHEDULED, IN_PROGRESS, SUCCEEDED ou FAILED — um verdadeiro painel de controlo em tempo real do estado da intrusão. E, talvez o mais preocupante, adiciona execução de scripts Python em memória: scripts arbitrários enviados pelo servidor C2 são executados diretamente dentro do processo do malware sem nunca serem escritos no disco, eliminando um dos principais artefactos forenses que as equipas de resposta usam para reconstruir uma intrusão.

O que fazer

A Kaspersky descreve a campanha como ainda ativa à data da publicação. Para organizações nos setores governamental e energético, as prioridades são: confirmar que todos os sistemas Windows receberam a atualização de novembro de 2025 que corrige a CVE-2025-9491; auditar tarefas agendadas em todos os endpoints à procura de entradas suspeitas com nomes como WindowsHelper; monitorizar ligações SSH de saída não autorizadas (o padrão de comando do BusySnake usa os argumentos -N -o ExitOnForwardFailure=yes -o StrictHostKeyChecking=no); e auditar os stores de credenciais dos navegadores — utilizadores do Firefox sem palavra-passe mestra definida estão especialmente vulneráveis ao roubo de credenciais.

O BusySnake Stealer é um lembrete de que a barreira de entrada para operações de ciberespionagem está a baixar — e que a IA não está apenas a defender sistemas, está também a ensinar os atacantes a escrever código que não deixa rasto.

💬 Comentários

Nenhum comentário ainda. Sê o primeiro a comentar!