Un attore APT mai documentato prima, battezzato Armored Likho, sta colpendo agenzie governative e il settore elettrico in Russia, Brasile e Kazakistan con un nuovo infostealer Python chiamato BusySnake. Kaspersky, che ha pubblicato l’analisi tecnica il 3 luglio, descrive un toolkit modulare, offuscato con PyArmor Pro e in parte generato con l’assistenza di strumenti di intelligenza artificiale: un caso di scuola di come lo spionaggio informatico stia adottando l’AI-assisted malware development anche nelle campagne di fascia media.
Chi è Armored Likho
Armored Likho non è un gruppo esordiente: secondo Kaspersky, il suo profilo operativo mescola campagne a sfondo finanziario contro privati con operazioni di cyberspionaggio mirate contro organizzazioni pubbliche e infrastrutture critiche. È proprio questa doppia natura — cybercrime opportunistico e intelligence gathering mirato — a rendere l’attribuzione complessa e la minaccia particolarmente insidiosa: la stessa toolchain può colpire un privato cittadino per rubare credenziali bancarie o un ministero per sottrarre documenti riservati.
I ricercatori segnalano possibili sovrapposizioni con un cluster tracciato da BI.ZONE con il nome Eagle Werewolf, attivo almeno dal maggio 2023 e storicamente focalizzato su enti governativi e della difesa, in particolare organizzazioni coinvolte nello sviluppo e nella produzione di droni (UAV). Nel febbraio 2026 Eagle Werewolf era già stato osservato compromettere un canale Telegram dedicato al mondo dei droni per distribuire il RAT AquilaRAT tramite un dropper Rust travestito da checklist per l’attivazione di dispositivi Starlink. Le sovrapposizioni tecniche tra AquilaRAT e BusySnake — stessi schemi di ricezione dei task dal C2, stessa modalità di persistenza tramite scheduled task, endpoint di comunicazione simili — rafforzano l’ipotesi che si tratti dello stesso ecosistema di sviluppo, se non dello stesso gruppo.
La catena d’attacco
Il vettore d’ingresso resta il più classico: email di spear-phishing con esche legate a comunicazioni governative ufficiali o programmi sociali, che distribuiscono un archivio RAR contenente eseguibili droppati da un repository GitHub. Il dropper crea due file VBScript, uno dei quali cancella le tracce dell’esecuzione iniziale mentre l’altro registra un’attività pianificata (scheduled task) per lanciare lo stealer ogni cinque minuti, mascherata da un innocuo processo di sistema chiamato WindowsHelper — la stessa convenzione di naming usata da AquilaRAT con MicrosoftOfficeUpdate.
Una catena alternativa sfrutta invece file di collegamento Windows (LNK) che abusano di CVE-2025-9491 (nota anche come ZDI-CAN-25373), la vulnerabilità nella gestione degli shortcut corretta da Microsoft nel Patch Tuesday di novembre 2025 ma già sfruttata in passato da una dozzina di gruppi APT dal 2017. In questo scenario, il file LNK innesca un comando PowerShell offuscato che avvia un loader: quest’ultimo mostra un documento esca alla vittima mentre in background prepara l’ambiente per l’esecuzione del vero payload, scaricando un interprete Python 3.12 portatile, lo script get-pip.py per installare le dipendenze e un archivio contenente il payload finale module.pyw.
BusySnake Stealer: un infostealer Python pensato per l’evasione
Il cuore della campagna è BusySnake, un infostealer scritto in Python e mai documentato prima. Il codice è offuscato e cifrato con PyArmor Pro 9.2.0: il malware decripta il proprio bytecode solo nell’istante esatto in cui una funzione viene invocata, per poi ricifrarlo immediatamente dopo l’esecuzione, complicando enormemente l’analisi statica e dinamica. L’estensione .pyw gli permette inoltre di girare in background senza mai aprire una finestra di console visibile.
Dopo l’inizializzazione, che legge da un file di configurazione l’indirizzo del C2, i percorsi delle directory, gli intervalli per gli screenshot e uno user-agent dedicato, BusySnake si mette in ascolto di comandi tramite una funzione poll_task che interroga costantemente il server. Tra le capacità operative documentate da Kaspersky:
- Furto di dati dagli appunti di sistema (clipboard)
- Enumerazione dei file sul disco con logging dei metadati in un database locale
- Ricerca di chiavi esadecimali a 64 caratteri nei file — un pattern tipico dei wallet di criptovalute — e relativa esfiltrazione
- Cattura periodica di screenshot, archiviazione e invio al C2
- Keylogging con invio ed eliminazione periodica del log
- Furto di cookie e password da browser Chromium e Firefox, tramite lettura diretta dei file
Cookies/cookies.sqlitee della master key inLogin State - Furto di sessioni e credenziali Telegram dalla cartella
tdata, previa terminazione forzata del processotelegram.exe - Apertura di un tunnel SSH inverso riutilizzando una chiave privata fornita dal C2 (funzionalità ereditata dal tool standalone Go2Tunnel, ora integrata nativamente nello stealer)
- Installazione o riavvio di RustDesk per ottenere il controllo remoto, con cattura dello screenshot delle credenziali inserite dalla vittima al momento del login
Kaspersky ha inoltre individuato una versione più recente dello stealer che introduce un vero e proprio framework di gestione dei task: ogni comando ricevuto dal C2 viene assegnato a un identificativo univoco e transita attraverso quattro stati operativi — SCHEDULED, IN_PROGRESS, SUCCEEDED, FAILED — per un reporting più granulare verso l’infrastruttura d’attacco. Un dettaglio che segnala una maturazione ingegneristica non banale per un tool di questa fascia.
L’ombra dell’AI nel malware development
Un elemento che merita attenzione da parte degli analisti: secondo Kaspersky, i payload di primo stadio (loader e stager) mostrano segni di essere stati generati, almeno in parte, con l’assistenza di strumenti di intelligenza artificiale, a giudicare dalla presenza di commenti ridondanti e blocchi di codice ripetitivi tipici dell’output di modelli linguistici. Non è un caso isolato nel panorama 2026, ma conferma una tendenza: gruppi di livello medio stanno abbassando i tempi di sviluppo del malware affidandosi a copiloti AI, con tutte le implicazioni che questo comporta in termini di volume e velocità di iterazione delle campagne.
Due righe per i difensori
Per i team di detection, il caso Armored Likho offre alcuni punti di leva concreti. Il monitoraggio di scheduled task con nomi che imitano processi Microsoft legittimi (WindowsHelper, ma anche varianti simili) dovrebbe essere prioritario in ambienti governativi e OT/ICS del settore energetico. Vale la pena bloccare o ispezionare il download di interpreti Python portatili e script get-pip.py da endpoint non di sviluppo, un comportamento anomalo per la maggior parte delle postazioni impiegatizie. È inoltre opportuno verificare che la patch per CVE-2025-9491 sia stata applicata su tutta la flotta Windows, dato che il bug LNK continua a essere riciclato da attori eterogenei quasi un decennio dopo la sua prima comparsa. Infine, il traffico verso servizi di tunneling SSH inverso avviato da processi non amministrativi è un segnale da allarme immediato, così come i tentativi di reinstallazione o riavvio non richiesti di RustDesk.
Kaspersky segnala di continuare a monitorare attivamente l’evoluzione della campagna e dell’infrastruttura di rete associata: è ragionevole aspettarsi nuove varianti di BusySnake nei prossimi mesi, considerato il ritmo di sviluppo osservato finora.
Indicatori di compromissione (IoC)
# Hash MD5 (selezione)
5D5C3E483C5E544260CE98FC29FBF192 - PS1 stager
0041FD1B2358CD08DBCBC28EA8FC3D20 - EXE dropper
894332174F536C2E1EFEDA05CBA79F8B - DLL loader
CF74AC018D158EA2C2CFA1B1D71D95BC - LNK malevolo
C7622A1EFFA27BBFEE6D6E03D6474343 - BusySnake Stealer (PYW)
80B7700053E115D65365CE7330383320 - BusySnake Stealer (nuova versione, PYW)
6B45DDB39A6E86229348DCBBA3857E7C - Archivio RAR con BusySnake
006887732CA4A4A46A97989CF4DEEEF6 - Archivio RAR con BusySnake
732C31ACF971A81C7E51B2A3DAE82020 - Archivio RAR con BusySnake
# Domini C2
winupdate[.]live
arvax[.]xyz
varenie[.]live
lvl99[.]store
onetoken[.]ink
winupdate[.]ink
# CVE sfruttata
CVE-2025-9491 (ZDI-CAN-25373) - Windows LNK RCE, patchata Nov 2025
# Scheduled task sospetto
WindowsHelper (persistenza BusySnake)
MicrosoftOfficeUpdate (persistenza AquilaRAT)
Fonti: Kaspersky/Securelist, The Hacker News, BI.ZONE Threat Intelligence.