Armored Likho: новая APT-группа атакует госсектор и энергетику

📋 Кратко

Эксперты Kaspersky обнаружили новую APT-группу Armored Likho (также известную как Eagle Werewolf), которая целенаправленно атакует государственные учреждения и объекты электроэнергетики в России, Бразилии и Казахстане. Группа использует Python-стилер BusySnake, модульные RAT и методы spear-phishing для кибершпионажа и финансово мотивированных атак.

⏱ 6 минут чтения

В июле 2026 года эксперты Kaspersky ICS-CERT опубликовали отчёт о новой Advanced Persistent Threat (APT) — группировке Armored Likho (также известной как Eagle Werewolf). Эта группа уже успела развернуть активную кампанию против государственных учреждений и объектов электроэнергетики в трёх странах: России, Бразилии и Казахстане.

Armored Likho — не рядовая хакерская группировка. Она сочетает классические методы социальной инженерии с современным инструментарием на Python, использует модульные вредоносные программы и активно применяет AI-сгенерированный код для обхода систем обнаружения. Её арсенал включает BusySnake Stealer — многофункциональный информационный стилер, а также тунеллирующие агенты для удалённого доступа.

Ключевая статистика: Согласно отчёту Kaspersky, Armored Likho одновременно проводит финансово мотивированные атаки против частных лиц и операции кибершпионажа против организаций в России, Бразилии и Казахстане. Основные цели — правительственные учреждения и предприятия электроэнергетического сектора.
Бронированный код против критической инфраструктуры
Бронированный код против критической инфраструктуры

Кто такая Armored Likho и как её обнаружили

Группировка получила название Armored Likho за характерную технику «бронирования» своих вредоносных компонентов: каждый исполняемый модуль использует динамическое шифрование байт-кода, который расшифровывается только в момент вызова функции и повторно шифруется сразу после выполнения. Такой подход крайне затрудняет статический анализ и обнаружение сигнатурными методами.

Три страны под прицелом кибергруппировки
Три страны под прицелом кибергруппировки

Исследователи Kaspersky отслеживают группу под кодовым именем Eagle Werewolf. Анализ инфраструктуры и тактик показывает, что группа действует как минимум с конца 2025 года, однако публичная огласка произошла только сейчас, после того как атаки достигли критической инфраструктуры в нескольких странах одновременно.

Armored Likho не использует руткиты или сложные эксплойты нулевого дня — её сила в другом. Группа делает ставку на социальную инженерию и хорошо продуманные spear-phishing кампании, которые позволяют получить первоначальный доступ к целевым системам.

Цели и география атак

Согласно данным из отчёта Kaspersky, опубликованного 6 июля 2026 года, география атак Armored Likho охватывает три страны:

Фишинговое письмо открывает путь в систему
Фишинговое письмо открывает путь в систему
  • Россия — правительственные учреждения и ведомства, объекты энергетической инфраструктуры
  • Бразилия — государственные организации и компании электроэнергетического сектора
  • Казахстан — аналогичные цели в государственном и энергетическом секторах

Выбор целей не случаен. Электроэнергетика остаётся одним из наиболее уязвимых секторов критической инфраструктуры: по данным отраслевых исследований, в 2025–2026 годах энергетический сектор стал целью 66% всех наблюдаемых APT-атак на промышленные организации. Правительственные учреждения, в свою очередь, привлекают злоумышленников концентрацией чувствительных данных и ограниченным бюджетом на кибербезопасность.

Интересно, что Armored Likho не ограничивается одной мотивацией — группа одновременно преследует как финансовые, так и разведывательные цели, что нетипично для многих APT-группировок, которые обычно специализируются на чём-то одном.

Spear-phishing: как Armored Likho проникает в сети

Основной вектор начального проникновения для Armored Likho — целевые фишинговые письма (spear-phishing). Злоумышленники отправляют жертвам электронные письма с вложенными архивами, которые содержат исполняемые файлы (.exe) или ярлыки (.lnk).

Многофункциональный стилер собирает данные жертвы
Многофункциональный стилер собирает данные жертвы

Механизм заражения выглядит следующим образом:

  1. Жертва получает письмо, замаскированное под легитимную деловую переписку
  2. Внутри архива находится LNK-файл или исполняемый файл, визуально имитирующий официальный документ
  3. При запуске LNK-файла отображается поддельный документ (декой), а в фоне запускается Python-интерпретатор 3.12 и загружается вредоносный архив
  4. Другой вариант: исполняемый файл внедряет в память загрузчик, который извлекает архивы из репозиториев GitHub, содержащие ранние версии и тестовые образцы вредоноса
  5. Загрузчик скачивает и запускает BusySnake Stealer, который начинает сбор данных
Ключевой факт: Злоумышленники используют GitHub в качестве хостинга для своих вредоносных архивов. Это позволяет им обходить фильтры электронной почты (архивы не прикреплены к письму напрямую), а также быстро обновлять вредоносные компоненты без изменения первоначального вектора атаки.

BusySnake Stealer — главное оружие Armored Likho

Центральный компонент атак Armored Likho — BusySnake Stealer, многофункциональный информационный стилер, написанный на Python. Это не просто похититель паролей, а полноценный набор инструментов для удалённого сбора данных, который может выполнять десятки различных операций.

Код расшифровывается только в момент исполнения
Код расшифровывается только в момент исполнения

Основные возможности BusySnake Stealer

  • Кража учётных данных из браузеров — поддерживает Chromium-браузеры (Chrome, Edge, Brave) и Firefox, извлекает сохранённые пароли и cookie-файлы
  • Перехват OTP-ключей — сканирует систему на наличие одноразовых паролей и кодов двухфакторной аутентификации
  • Поиск криптовалютных кошельков — обнаруживает установленные кошельки и файлы с приватными ключами
  • Хищение Telegram-сессий — извлекает файлы сессий и учётные данные Telegram Desktop
  • Кейлоггинг — записывает нажатия клавиш, после чего эксфильтрирует собранные данные
  • Снятие скриншотов — периодически делает снимки экрана и упаковывает их в архивы
  • Кража буфера обмена — отслеживает содержимое буфера обмена жертвы
  • Кража документов — находит и эксфильтрирует документы определённых типов с диска
  • Установка обратного SSH-туннеля — предоставляет злоумышленникам удалённый доступ к скомпрометированному хосту
  • Захват RustDesk — перезапускает RustDesk для перехвата учётных данных пользователя

Каждая функция реализована как отдельный обработчик. Управление осуществляется с командного сервера (C&C): злоумышленники отправляют команды, а стилер выполняет соответствующие действия.

Методы обхода защиты

Armored Likho применяет несколько уровней обфускации и антидетекта, которые делают её одной из наиболее сложных для обнаружения группировок 2026 года:

Эшелонированная защита от современных киберугроз
Эшелонированная защита от современных киберугроз
  • Динамическое шифрование байт-кода — ключевая техника. Код Python-функций расшифровывается непосредственно перед вызовом и повторно шифруется после выполнения. Это означает, что в любой момент времени в памяти находится только исполняемый в данный момент фрагмент кода, а остальной вредонос хранится в зашифрованном виде
  • Работа без консольного окна — стилер запускается скрытно, не создавая видимых окон или консоли
  • Использование AI-сгенерированного кода — часть компонентов содержит код, созданный или модифицированный с помощью больших языковых моделей, что усложняет сигнатурный анализ
  • Модульная архитектура — каждый модуль загружается с C&C только при необходимости, уменьшая сетевой след и объём передаваемых данных
  • Хостинг через GitHub — использование легитимного облачного сервиса для хранения вредоносных архивов маскирует трафик под обычную разработку

Рекомендации по защите от Armored Likho

На основе анализа тактик, техник и процедур (TTPs) Armored Likho эксперты Kaspersky и SecurityWeek рекомендуют следующие меры защиты:

  1. Усиление фильтрации электронной почты — блокировка входящих архивов (.zip, .rar, .7z) с исполняемыми файлами и LNK-ярлыками из внешних источников. Особое внимание — письмам от государственных и энергетических организаций
  2. Ограничение выполнения скриптов — отключение или ограничение интерпретаторов Python (особенно Python 3.12) на рабочих станциях, где они не требуются для бизнес-задач
  3. Блокировка GitHub в корпоративной сети — если репозитории GitHub не используются в рабочих процессах, доступ к сервису следует ограничить на уровне прокси-сервера или NGFW
  4. Мониторинг процессов — внедрение правил EDR/XDR для отслеживания запуска python.exe или python3.exe из подозрительных директорий (Temp, Downloads, AppData)
  5. Обучение персонала — регулярные тренинги по распознаванию фишинговых писем, особенно нацеленных на сотрудников, работающих с правительственными контрактами и энергетической документацией
  6. Сегментация сети — критическая инфраструктура и промышленные сети (ICS/OT) должны быть изолированы от корпоративной IT-сети
  7. Многофакторная аутентификация — внедрение MFA, устойчивой к фишингу (например, FIDO2/WebAuthn), для всех критических систем
Важный вывод: Armored Likho демонстрирует, что современные APT-группы активно адаптируют AI-технологии и облачные сервисы для своих целей. Традиционные сигнатурные методы обнаружения неэффективны против динамического шифрования байт-кода. Для защиты необходимы поведенческий анализ (EDR/XDR), многоуровневая фильтрация трафика и постоянное обучение персонала.

📚 Читайте также

📖 Термины

APT · Supply Chain Attack · Социальная инженерия · Фишинг

🔗 Источники