一个从未被公开记录的黑客组织“Armored Likho”,近期被安全厂商捕获到连续攻击行动。该组织瞄准俄罗斯、巴西和哈萨克斯坦的政府机构及电力行业,行动兼具经济动机与网络间谍目的。卡巴斯基在今天发布的技术分析中指出,“Armored Likho将针对个人的资金窃取活动与针对组织的定向网络间谍行动糅合在一起”,其武器库包含经过高度混淆的模块化远程访问木马和信息窃取程序,专门设计用于规避动态分析。
为了维持对受感染主机的长期控制,攻击者使用了Go2Tunnel这类工具来实现远程访问和网络隧道。这种多样化的工具组合,让Armored Likho能够窃取凭证、敏感数据,并可动态下发量身适配的载荷模块,持续扩大损害。
卡巴斯基认为,Armored Likho与BI.ZONE所追踪的“Eagle Werewolf”活动集群存在明显重叠。后一个黑客组织至少从2023年5月起就一直活跃,主要攻击政府和国防机构,尤其盯上无人机研发与制造单位,惯用手法包括投放器、远程访问木马,以及用于建立SSH隧道的工具。BI.ZONE在描述中提到,“攻击者可能利用已被入侵的电报频道来分发恶意软件。虽然该组织主要动机是网络间谍,但以窃取受害者资金为目标的行动也有记录。”
就在2026年2月,Eagle Werewolf曾拿下一个专注无人机话题的电报频道,通过一个伪装成星链设备激活清单的Rust投放器来散布AquilaRAT木马。同一团伙在攻击中还使用Go2Tunnel,借助私钥与命令控制服务器建立反向SSH隧道。这类手段与Armored Likho当前暴露的战术高度相似。
最新的发现表明,Armored Likho还动用一个此前未曝光的信息窃取程序——BusySnake Stealer。这个基于Python的窃密工具专门针对Windows系统,其中一个版本包含从网页浏览器窃取Cookie的模块。目前该组织的确切起源仍不清楚。
整个攻击链的起点是一封鱼叉邮件,邮件利用看似政府通告或社会计划相关的诱饵,诱导收件人打开内附的一个RAR压缩包。压缩包里藏着多种EXE可执行文件,它们充当投放器,从GitHub仓库拉取后续载荷,其中就包括窃取Payload。投放器还会在系统中生成两个VBScript脚本文件,一个负责抹除初次执行的痕迹,另一个通过计划任务来启动信息窃取程序。
除了常规的EXE投放路径,部分攻击链改用Windows快捷方式(LNK文件)替代可执行文件载荷,并利用一个已修复的漏洞来实现远程代码执行。该漏洞编号为CVE-2025-9491(亦称ZDI-CAN-25373),微软已在当月周二补丁日修复。这意味着攻击者在漏洞修补前,就已将其武器化并投入到对政府及关键基础设施的定向打击中。
热门跟贴