Een tot nu toe onbekende dreigingsactor, bekend als Armored Likho, voert cyberaanvallen uit op overheidsinstanties en de elektriciteitssector in Rusland, Brazilië en Kazachstan. Volgens Kaspersky combineert deze groep financieel gemotiveerde campagnes gericht op particulieren met gerichte cyberspionage tegen organisaties. Hun toolkit bevat geavanceerde, gemoduleerde remote access Trojans (RATs) en infostealers die speciaal zijn ontwikkeld om dynamische analyse te omzeilen, aldus Kaspersky.

De aanvallen kenmerken zich door het gebruik van tools zoals Go2Tunnel voor externe toegang en netwerk-tunneling. Door de brede inzet van verschillende tools kan Armored Likho langdurige toegang behouden tot geïnfecteerde systemen, credentials en gevoelige data stelen en dynamisch modules leveren die zijn afgestemd op het slachtoffer. Volgens de Russische cybersecurityleverancier vertoont Armored Likho overlap met een dreigingscluster dat BI.ZONE volgt onder de naam Eagle Werewolf, actief sinds mei 2023. Deze groep richt zich op overheids- en defensieorganisaties, met name op die betrokken bij de ontwikkeling en productie van onbemande luchtvaartuigen (UAV’s), en maakt gebruik van droppers, RATs en SSH-tunnel utilities.

BI.ZONE merkt op dat de dreigingsactor mogelijk gecompromitteerde Telegram-kanalen inzet om malware te verspreiden. Hoewel cyberspionage de primaire motivatie is, zijn er ook campagnes bekend die gericht zijn op het stelen van geld. In februari 2026 werd bijvoorbeeld een drone-gerelateerd Telegram-kanaal gehackt om AquilaRAT te verspreiden via een Rust-dropper die zich voordeed als een checklist voor Starlink-apparaatactivatie. Go2Tunnel werd ingezet om een reverse SSH-tunnel op te zetten naar een command-and-controlserver met een private key.

Nieuw in de aanvalsmethoden is de inzet van een Python-gebaseerde infostealer, de BusySnake Stealer, die Windows-systemen target. Een versie hiervan bevat een module om cookies uit webbrowsers te stelen. De oorsprong van Armored Likho is onbekend. De aanval begint met een spear-phishingmail die zich voordoet als officiële overheidsmededelingen of sociale programma’s. Deze mail bevat een RAR-archief met EXE-bestanden die fungeren als droppers voor extra payloads, waaronder de stealer, die worden opgehaald van een GitHub-repository.

De dropper maakt ook twee Visual Basic Script-bestanden aan die sporen van de initiële uitvoering wissen en de stealer via een geplande taak starten. Alternatieve aanvalsketens gebruiken Windows-snelkoppelingen (LNK-bestanden) in plaats van EXE’s, waarbij een inmiddels gepatchte kwetsbaarheid in Windows wordt misbruikt voor remote code execution. Deze kwetsbaarheid, geregistreerd als CVE-2025-9491, werd door Microsoft opgelost in de Patch Tuesday-update van november 2025. Trend Micro toonde vorig jaar aan dat deze kwetsbaarheid sinds 2017 door meerdere hackinggroepen werd geëxploiteerd.

In de door Kaspersky gedocumenteerde aanvalsketen wordt de snelkoppeling kwetsbaarheid misbruikt om een geobfusceerd PowerShell-commando uit te voeren dat een loader start. Deze loader toont een lokdocument en bereidt de omgeving voor op de uitvoering van de Python-stealer. De malware zorgt vervolgens voor persistente aanwezigheid via een combinatie van een VBScript-bestand en een geplande taak. De BusySnake Stealer gebruikt diverse technieken om analyse en detectie te bemoeilijken. Het hoofddoel is communicatie op te zetten met een command-and-controlserver en instructies af te wachten, terwijl het onder andere systeemgegevens steelt.