🔍 Contexte

Publié le 3 juillet 2026 par Kaspersky sur Securelist, cet article présente une analyse technique approfondie d’une campagne active attribuée avec un niveau de confiance moyen au groupe APT Armored Likho (également connu sous le nom Eagle Werewolf). La campagne cible principalement des agences gouvernementales et le secteur de l’énergie électrique en Russie, au Kazakhstan et au Brésil.

🎯 Vecteur d’infection initial

Le groupe utilise des emails de spear-phishing avec des thèmes liés à des notices gouvernementales ou des programmes sociaux. Les archives malveillantes (ZIP/RAR) contiennent soit :

  • Un exécutable dropper (psihologicheskiy_test.exe) basé sur NSIS, affichant un faux test psychologique en leurre
  • Un fichier LNK exploitant la vulnérabilité ZDI-CAN-25373 pour masquer des paramètres de ligne de commande via des espaces ou sauts de ligne

Dans les deux cas, un loader est exécuté, qui télécharge depuis des dépôts GitHub les composants du payload final, dont un interpréteur Python 3.12, le script get-pip.py, et le payload principal module.pyw.

🐍 BusySnake Stealer — Fonctionnalités principales

L’infostealer est écrit en Python, obfusqué et chiffré via PyArmor Pro 9.2.0, et s’exécute sans fenêtre console (extension .pyw). Il est persisté via une tâche planifiée (toutes les 5 minutes) créée par un script VBScript (run.vbs).

Fonctionnalités clés :

  • Vol de mots de passe depuis les navigateurs Chromium (via DPAPI) et Firefox (via PK11SDR_Decrypt)
  • Extraction de cookies via requêtes SQL directes ou via une extension de navigateur malveillante installée dynamiquement
  • Keylogging/clipboard : surveillance continue du presse-papiers
  • Inventaire du système de fichiers : base SQLite locale, extraction de clés hexadécimales 64 caractères
  • Exfiltration de documents (Desktop, Documents, Downloads, fichiers < 5 Mo)
  • Captures d’écran périodiques
  • Tunnel SSH inversé via handle_start_proxy_command (clé privée reçue du C2)
  • Vol de données Telegram (répertoire tdata)
  • Recherche de secrets 2FA (pattern otpauth://)
  • Recherche de wallets crypto (fichiers JSON)
  • Déploiement de RustDesk pour prise de contrôle à distance

🔄 Nouvelle version du stealer

Une version plus récente a été identifiée, intégrant :

  • Création de tâches planifiées via COM object (Schedule.Service) au lieu de schtasks
  • Pause d’exécution avant les routines malveillantes (anti-analyse dynamique)
  • Nouveau framework de gestion des tâches C2 avec statuts (SCHEDULED, IN_PROGRESS, SUCCEEDED, FAILED)
  • Exécution de scripts Python arbitraires en mémoire sans écriture disque

🔗 Attribution

L’attribution à Armored Likho repose sur :

  1. Réutilisation de la fonctionnalité de tunnel SSH inversé (précédemment dans Go2Tunnel)
  2. Similarités architecturales avec AquilaRAT (handlers, endpoints C2, mécanismes de persistance)
  3. Nommage des tâches planifiées : WindowsHelper (BusySnake) vs MicrosoftOfficeUpdate (AquilaRAT)

📋 Type d’article

Il s’agit d’une analyse technique approfondie publiée par Kaspersky, visant à documenter les TTPs, les IoCs et l’outillage d’un groupe APT actif pour permettre la détection et le suivi par les équipes CTI.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Armored Likho (state-sponsored) —
  • Eagle Werewolf (state-sponsored) —

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1112 — Modify Registry (Defense Evasion)
  • T1082 — System Information Discovery (Discovery)
  • T1083 — File and Directory Discovery (Discovery)
  • T1113 — Screen Capture (Collection)
  • T1115 — Clipboard Data (Collection)
  • T1005 — Data from Local System (Collection)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1572 — Protocol Tunneling (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1219 — Remote Access Software (Command and Control)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1547.005 — Boot or Logon Autostart Execution: Security Support Provider (Persistence)

IOC

Malware / Outils

  • BusySnake Stealer (stealer)
  • AquilaRAT (rat)
  • Go2Tunnel (tool)
  • RustDesk (tool)

🟢 Indice de vérification factuelle : 95/100 (haute)

  • ✅ securelist.com — source reconnue (liste interne) (20pts)
  • ✅ 33496 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 63 IOCs dont des hashes (15pts)
  • ✅ 6/8 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 28 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Armored Likho, Eagle Werewolf (5pts)
  • ⬜ 0/0 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

  • 159.198.41.140 (ip) → VT (17/91 détections)
  • 159.198.75.219 (ip) → VT (12/91 détections)
  • 159.198.32.222 (ip) → VT (11/91 détections)
  • winupdate.live (domain) → VT (18/91 détections)
  • arvax.xyz (domain) → VT (17/91 détections)

🔗 Source originale : https://securelist.com/tr/armored-likho-apt-with-busysnake-stealer/120292/