Armored Likho: новая APT-группа атакует госсектор и энергетику
📋 Кратко
Эксперты Kaspersky обнаружили новую APT-группу Armored Likho (также известную как Eagle Werewolf), которая целенаправленно атакует государственные учреждения и объекты электроэнергетики в России, Бразилии и Казахстане. Группа использует Python-стилер BusySnake, модульные RAT и методы spear-phishing для кибершпионажа и финансово мотивированных атак.
⏱ 6 минут чтения
В июле 2026 года эксперты Kaspersky ICS-CERT опубликовали отчёт о новой Advanced Persistent Threat (APT) — группировке Armored Likho (также известной как Eagle Werewolf). Эта группа уже успела развернуть активную кампанию против государственных учреждений и объектов электроэнергетики в трёх странах: России, Бразилии и Казахстане.
Armored Likho — не рядовая хакерская группировка. Она сочетает классические методы социальной инженерии с современным инструментарием на Python, использует модульные вредоносные программы и активно применяет AI-сгенерированный код для обхода систем обнаружения. Её арсенал включает BusySnake Stealer — многофункциональный информационный стилер, а также тунеллирующие агенты для удалённого доступа.
Кто такая Armored Likho и как её обнаружили
Группировка получила название Armored Likho за характерную технику «бронирования» своих вредоносных компонентов: каждый исполняемый модуль использует динамическое шифрование байт-кода, который расшифровывается только в момент вызова функции и повторно шифруется сразу после выполнения. Такой подход крайне затрудняет статический анализ и обнаружение сигнатурными методами.
Исследователи Kaspersky отслеживают группу под кодовым именем Eagle Werewolf. Анализ инфраструктуры и тактик показывает, что группа действует как минимум с конца 2025 года, однако публичная огласка произошла только сейчас, после того как атаки достигли критической инфраструктуры в нескольких странах одновременно.
Armored Likho не использует руткиты или сложные эксплойты нулевого дня — её сила в другом. Группа делает ставку на социальную инженерию и хорошо продуманные spear-phishing кампании, которые позволяют получить первоначальный доступ к целевым системам.
Цели и география атак
Согласно данным из отчёта Kaspersky, опубликованного 6 июля 2026 года, география атак Armored Likho охватывает три страны:
- Россия — правительственные учреждения и ведомства, объекты энергетической инфраструктуры
- Бразилия — государственные организации и компании электроэнергетического сектора
- Казахстан — аналогичные цели в государственном и энергетическом секторах
Выбор целей не случаен. Электроэнергетика остаётся одним из наиболее уязвимых секторов критической инфраструктуры: по данным отраслевых исследований, в 2025–2026 годах энергетический сектор стал целью 66% всех наблюдаемых APT-атак на промышленные организации. Правительственные учреждения, в свою очередь, привлекают злоумышленников концентрацией чувствительных данных и ограниченным бюджетом на кибербезопасность.
Интересно, что Armored Likho не ограничивается одной мотивацией — группа одновременно преследует как финансовые, так и разведывательные цели, что нетипично для многих APT-группировок, которые обычно специализируются на чём-то одном.
Spear-phishing: как Armored Likho проникает в сети
Основной вектор начального проникновения для Armored Likho — целевые фишинговые письма (spear-phishing). Злоумышленники отправляют жертвам электронные письма с вложенными архивами, которые содержат исполняемые файлы (.exe) или ярлыки (.lnk).
Механизм заражения выглядит следующим образом:
- Жертва получает письмо, замаскированное под легитимную деловую переписку
- Внутри архива находится LNK-файл или исполняемый файл, визуально имитирующий официальный документ
- При запуске LNK-файла отображается поддельный документ (декой), а в фоне запускается Python-интерпретатор 3.12 и загружается вредоносный архив
- Другой вариант: исполняемый файл внедряет в память загрузчик, который извлекает архивы из репозиториев GitHub, содержащие ранние версии и тестовые образцы вредоноса
- Загрузчик скачивает и запускает BusySnake Stealer, который начинает сбор данных
BusySnake Stealer — главное оружие Armored Likho
Центральный компонент атак Armored Likho — BusySnake Stealer, многофункциональный информационный стилер, написанный на Python. Это не просто похититель паролей, а полноценный набор инструментов для удалённого сбора данных, который может выполнять десятки различных операций.
Основные возможности BusySnake Stealer
- Кража учётных данных из браузеров — поддерживает Chromium-браузеры (Chrome, Edge, Brave) и Firefox, извлекает сохранённые пароли и cookie-файлы
- Перехват OTP-ключей — сканирует систему на наличие одноразовых паролей и кодов двухфакторной аутентификации
- Поиск криптовалютных кошельков — обнаруживает установленные кошельки и файлы с приватными ключами
- Хищение Telegram-сессий — извлекает файлы сессий и учётные данные Telegram Desktop
- Кейлоггинг — записывает нажатия клавиш, после чего эксфильтрирует собранные данные
- Снятие скриншотов — периодически делает снимки экрана и упаковывает их в архивы
- Кража буфера обмена — отслеживает содержимое буфера обмена жертвы
- Кража документов — находит и эксфильтрирует документы определённых типов с диска
- Установка обратного SSH-туннеля — предоставляет злоумышленникам удалённый доступ к скомпрометированному хосту
- Захват RustDesk — перезапускает RustDesk для перехвата учётных данных пользователя
Каждая функция реализована как отдельный обработчик. Управление осуществляется с командного сервера (C&C): злоумышленники отправляют команды, а стилер выполняет соответствующие действия.
Методы обхода защиты
Armored Likho применяет несколько уровней обфускации и антидетекта, которые делают её одной из наиболее сложных для обнаружения группировок 2026 года:
- Динамическое шифрование байт-кода — ключевая техника. Код Python-функций расшифровывается непосредственно перед вызовом и повторно шифруется после выполнения. Это означает, что в любой момент времени в памяти находится только исполняемый в данный момент фрагмент кода, а остальной вредонос хранится в зашифрованном виде
- Работа без консольного окна — стилер запускается скрытно, не создавая видимых окон или консоли
- Использование AI-сгенерированного кода — часть компонентов содержит код, созданный или модифицированный с помощью больших языковых моделей, что усложняет сигнатурный анализ
- Модульная архитектура — каждый модуль загружается с C&C только при необходимости, уменьшая сетевой след и объём передаваемых данных
- Хостинг через GitHub — использование легитимного облачного сервиса для хранения вредоносных архивов маскирует трафик под обычную разработку
Рекомендации по защите от Armored Likho
На основе анализа тактик, техник и процедур (TTPs) Armored Likho эксперты Kaspersky и SecurityWeek рекомендуют следующие меры защиты:
- Усиление фильтрации электронной почты — блокировка входящих архивов (.zip, .rar, .7z) с исполняемыми файлами и LNK-ярлыками из внешних источников. Особое внимание — письмам от государственных и энергетических организаций
- Ограничение выполнения скриптов — отключение или ограничение интерпретаторов Python (особенно Python 3.12) на рабочих станциях, где они не требуются для бизнес-задач
- Блокировка GitHub в корпоративной сети — если репозитории GitHub не используются в рабочих процессах, доступ к сервису следует ограничить на уровне прокси-сервера или NGFW
- Мониторинг процессов — внедрение правил EDR/XDR для отслеживания запуска python.exe или python3.exe из подозрительных директорий (Temp, Downloads, AppData)
- Обучение персонала — регулярные тренинги по распознаванию фишинговых писем, особенно нацеленных на сотрудников, работающих с правительственными контрактами и энергетической документацией
- Сегментация сети — критическая инфраструктура и промышленные сети (ICS/OT) должны быть изолированы от корпоративной IT-сети
- Многофакторная аутентификация — внедрение MFA, устойчивой к фишингу (например, FIDO2/WebAuthn), для всех критических систем
📚 Читайте также
- Мошенники пугают блокировкой СБП: схема с кодами из СМС набирает обороты
- Кибератаки под видом ИИ-сервисов на малый бизнес: рост в 5 раз в 2026
- Глубокие фейки (Deepfake) как угроза кибербезопасности в 2026 году
- AI-социальная инженерия 2026: дипфейки, клонирование голоса и фишинг нового поколения
- Supply Chain Attacks: как защититься от атак на цепочку поставок в 2026
📖 Термины
APT · Supply Chain Attack · Социальная инженерия · Фишинг
🔗 Источники
- Armored Likho APT Intensifies Attacks on Government and Energy Sector — COE Security
- Armored Likho APT Targeting Government, Electric Power Entities — SecurityWeek
- Armored Likho Targets Government Agencies and Energy Sector — The Hacker News
- New APT Group Hits Power Grids in Three Countries with AI-Crafted Malware — Tech Times