Setor elétrico e órgãos públicos no Brasil entram no radar de novo grupo hacker
- Cyber Security Brazil
- há 13 minutos
- 5 min de leitura

Um agente de ameaça até então não documentado, identificado como Armored Likho, foi associado a ataques cibernéticos contra órgãos governamentais e empresas do setor de energia elétrica na Rússia, no Brasil e no Cazaquistão. A atividade foi detalhada pela Kaspersky, que descreve o grupo como um operador híbrido, capaz de combinar campanhas com motivação financeira contra indivíduos com operações direcionadas de espionagem cibernética contra organizações.
Segundo a análise técnica da empresa, o arsenal do Armored Likho inclui RATs, infostealers e ferramentas modulares com forte uso de ofuscação, projetadas para dificultar análise dinâmica e reduzir a chance de detecção por soluções de segurança. Entre os recursos observados está o Go2Tunnel, ferramenta usada para acesso remoto e tunelamento de rede, permitindo estabelecer conexões persistentes entre máquinas comprometidas e servidores de comando e controle.
A variedade de ferramentas empregadas pelo grupo permite manter acesso contínuo a hosts invadidos, roubar credenciais e dados sensíveis, além de entregar módulos diferentes de acordo com o perfil da vítima. Essa abordagem sugere uma operação flexível, capaz de adaptar a cadeia de ataque conforme o alvo, o ambiente comprometido e os objetivos da campanha.
A Kaspersky também identificou possíveis sobreposições entre o Armored Likho e um cluster rastreado pela BI.ZONE como Eagle Werewolf, ativo desde maio de 2023. Esse grupo tem histórico de ataques contra organizações governamentais e do setor de defesa, especialmente entidades ligadas ao desenvolvimento e à fabricação de veículos aéreos não tripulados, os UAVs. As campanhas atribuídas ao Eagle Werewolf já envolveram droppers, trojans de acesso remoto e utilitários para criação de túneis SSH.
De acordo com a BI.ZONE, os invasores podem usar canais comprometidos no Telegram para distribuir malware. Embora a principal motivação atribuída ao grupo seja espionagem cibernética, também foram registradas campanhas voltadas ao roubo de dinheiro de vítimas, indicando uma sobreposição entre objetivos de inteligência e ganho financeiro.
Em fevereiro de 2026, o Eagle Werewolf foi observado comprometendo um canal do Telegram focado em drones para distribuir o AquilaRAT por meio de um dropper escrito em Rust. O arquivo malicioso se passava por uma lista de verificação para ativação de dispositivos Starlink. Nesses ataques, o Go2Tunnel também foi usado para estabelecer um túnel SSH reverso com um servidor de comando e controle, utilizando uma chave privada.

As descobertas mais recentes mostram que o agente também passou a usar um novo infostealer baseado em Python, chamado BusySnake Stealer, voltado a sistemas Windows. Uma das versões analisadas inclui um módulo específico para roubo de cookies de navegadores. As origens exatas do Armored Likho ainda são desconhecidas.
A cadeia de ataque começa com e-mails de spear phishing que usam iscas relacionadas a comunicados oficiais do governo ou programas sociais. As mensagens distribuem um arquivo RAR contendo binários EXE, que funcionam como droppers para baixar cargas adicionais a partir de um repositório no GitHub, incluindo o próprio BusySnake Stealer.
Após a execução inicial, o dropper cria dois arquivos Visual Basic Script, ou VBScript. Esses scripts são usados para apagar rastros da primeira execução e iniciar o stealer por meio de uma tarefa agendada no Windows. Esse mecanismo ajuda o malware a manter persistência no sistema, permitindo que ele volte a ser executado mesmo após reinicializações.
A Kaspersky também observou cadeias alternativas que usam atalhos do Windows, no formato LNK, em vez de executáveis EXE. Nesses casos, os invasores exploram uma vulnerabilidade já corrigida relacionada à forma como o Windows processa esses arquivos. A falha, rastreada como CVE-2025-9491 e também conhecida como ZDI-CAN-25373, foi corrigida pela Microsoft no Patch Tuesday de novembro de 2025.
Evidências divulgadas anteriormente pela Trend Micro indicaram que essa vulnerabilidade vinha sendo explorada por uma dúzia de grupos hackers desde 2017. Na cadeia documentada pela Kaspersky, a falha em arquivos de atalho é usada para acionar um comando PowerShell ofuscado. Esse comando inicia um loader responsável por exibir um documento-isca à vítima, ao mesmo tempo em que prepara o ambiente para execução do stealer em Python.
Depois disso, o malware estabelece persistência com a mesma combinação de arquivo VBScript e tarefa agendada. O uso de documentos-isca ajuda a reduzir a suspeita do usuário, enquanto a execução real ocorre em segundo plano.
O BusySnake implementa diversas técnicas de evasão para dificultar análise estática e contornar mecanismos de detecção. Seu objetivo principal é estabelecer comunicação com o servidor de comando e controle e aguardar instruções. A partir desse canal, os operadores podem acionar diferentes funções conforme o interesse na máquina comprometida.
Entre as capacidades do BusySnake estão o roubo de dados da área de transferência, enumeração de arquivos do sistema, registro de metadados em um banco de dados local, envio de documentos do usuário ao servidor de comando e controle, captura de screenshots e preparação dessas imagens em um diretório local. O malware também consegue compactar capturas de tela, remover arquivos previamente criados no disco, impedir que múltiplas instâncias sejam executadas ao mesmo tempo e verificar se sua tarefa agendada ainda existe.
Os comandos enviados pelo servidor de comando e controle ampliam o alcance da ameaça. O BusySnake pode capturar telas em intervalos definidos, registrar teclas digitadas, coletar arquivos de carteiras de criptomoedas com extensão JSON, roubar sessões e credenciais do Telegram, criar túneis SSH reversos usando Go2Tunnel, instalar o RustDesk e extrair cookies e senhas de navegadores Mozilla Firefox e baseados em Chromium.
O abuso do RustDesk chama atenção porque a ferramenta é legítima e de código aberto, usada para acesso remoto. Quando o RustDesk já está instalado na máquina, o malware o inicia e induz a vítima a inserir suas credenciais. Em seguida, o BusySnake captura uma imagem da tela com essas credenciais e envia o conteúdo ao servidor de comando e controle.
Segundo a Kaspersky, o malware descriptografa dinamicamente seu bytecode apenas no momento exato em que uma função é chamada, criptografando os dados novamente logo depois. Além disso, ele roda em segundo plano sem abrir uma janela de console, comportamento indicado pelo uso da extensão PYW em arquivos Python.
A empresa também identificou uma versão mais recente do BusySnake que evolui a arquitetura anterior. Essa variante inclui um novo framework de gerenciamento de tarefas para processar comandos vindos do servidor de comando e controle e atribuir estados operacionais às ações, como SCHEDULED, IN_PROGRESS, SUCCEEDED ou FAILED. Esse mecanismo melhora o acompanhamento da execução das tarefas pelos operadores.
As possíveis ligações com o Eagle Werewolf aparecem em semelhanças entre o AquilaRAT e o BusySnake Stealer. As duas famílias de malware apresentam paralelos na forma como recebem tarefas do servidor de comando e controle, registram persistência por tarefas agendadas e usam endpoints semelhantes para comunicação com a infraestrutura dos invasores.
A Kaspersky também identificou indícios de que cargas iniciais, como loaders e stagers, podem ter sido geradas com auxílio de ferramentas de inteligência artificial. Essa avaliação se baseia na presença de comentários redundantes e blocos de código aparentemente desnecessários, características que podem aparecer em código produzido ou assistido por IA.
Para a Kaspersky, a campanha reúne tendências importantes no cenário de ameaças: amadurecimento técnico do Armored Likho, polimorfismo de ferramentas e adoção de esquemas mais complexos para burlar soluções de segurança. A evolução vai desde a ofuscação de código-fonte em Python até a incorporação de mecanismos de rede diretamente no malware.
Outro ponto relevante é a integração de funcionalidades antes usadas como ferramentas separadas. O Go2Tunnel, que anteriormente operava como utilitário independente, teve sua função de tunelamento reverso incorporada diretamente ao stealer. Agora, o BusySnake pode receber parâmetros do servidor de comando e controle e criar o túnel como recurso nativo, reduzindo dependências externas e tornando a operação mais integrada.
O uso combinado de spear phishing, exploração de vulnerabilidades em atalhos do Windows, malware modular, roubo de credenciais, acesso remoto e tunelamento SSH coloca o Armored Likho em uma posição de risco relevante para ambientes governamentais e infraestruturas críticas. Para organizações do setor elétrico, esse tipo de ameaça pode impactar não apenas dados sensíveis, mas também continuidade operacional, acesso administrativo e visibilidade sobre ativos comprometidos.


