🛡️ Executive Summary
- Armored Likho distribuisce BusySnake Stealer tramite spear-phishing contro organizzazioni governative, settore elettrico e utenti mirati.
- Il malware usa Python, PyArmor Pro 9.2.0, persistenza via task pianificati e furto avanzato di credenziali.
- Le difese devono monitorare interpreti Python non autorizzati, file LNK, tunnel SSH reverse e installazioni di RustDesk.
Armored Likho emerge come un attore APT ibrido capace di combinare finalità finanziarie, furto di credenziali e operazioni di spionaggio mirato contro organizzazioni governative e infrastrutture del settore elettrico. La campagna descritta dai ricercatori introduce BusySnake Stealer, un infostealer basato su Python per sistemi Windows, progettato per sottrarre password, cookie, dati di Telegram Desktop, segreti 2FA, file prioritari, screenshot e possibili chiavi crittografiche. Il gruppo utilizza email di spear-phishing con allegati compressi, loader di prima fase probabilmente generati con strumenti di intelligenza artificiale, payload offuscati e componenti scaricati da infrastrutture pubbliche come GitHub. Il caso è rilevante perché mostra una tendenza ormai consolidata nel panorama APT: linguaggi interpretati, modularità, strumenti legittimi di accesso remoto e offuscamento commerciale vengono integrati in catene d’attacco flessibili, difficili da attribuire e orientate sia alla monetizzazione sia alla raccolta informativa persistente.
Cosa leggere
Armored Likho combina furto finanziario e cyber spionaggio
Armored Likho, indicato anche con possibili collegamenti circostanziali a Eagle Werewolf, opera con un modello ibrido che rende più complessa la classificazione tradizionale tra cybercrime e spionaggio. Le campagne osservate colpiscono individui privati per furto di credenziali, wallet e dati personali, ma si estendono anche a organizzazioni pubbliche e settore energetico in Russia, Brasile e Kazakistan. Questa doppia natura permette al gruppo di finanziare parte delle attività con operazioni opportunistiche, mantenendo al tempo stesso capacità mirate contro obiettivi istituzionali. L’arsenale include RAT modulari, infostealer offuscati, strumenti di tunneling come Go2Tunnel e payload capaci di aggirare l’analisi dinamica.

L’uso di codice di prima fase generato con AI introduce ulteriore rumore nell’attribuzione, perché commenti, stile del codice, struttura delle funzioni e scelte sintattiche possono perdere coerenza con un singolo sviluppatore o gruppo. Per i team di threat intelligence, questo significa dover pesare di più infrastrutture, TTP operative, vittimologia e catena di distribuzione rispetto ai soli indicatori statici del codice.
BusySnake Stealer punta a credenziali, cookie e dati Telegram
BusySnake Stealer è il componente più significativo della campagna. Il malware è scritto in Python ed eseguito come file .pyw, scelta che consente di avviare il payload senza mostrare una finestra console all’utente. Il codice viene protetto con PyArmor Pro 9.2.0, che cifra e offusca il bytecode rendendo più difficile il reverse engineering statico e complicando anche l’analisi tramite dump di memoria. La configurazione iniziale definisce server C2, percorsi locali, espressioni regolari, intervalli di screenshot, directory di lavoro e stringa User-Agent.

La struttura a handler separa le funzioni principali: lock per evitare istanze multiple, logging della clipboard, inventario dei file, raccolta documenti, screenshot periodici, polling del server di comando e controllo, esecuzione di task remoti e persistenza. Il modulo per i browser Chromium individua il file Local State, recupera la master key e decripta le password nella tabella logins, mentre il modulo per Firefox accede ai profili e usa funzioni NSS come NSS_Init e PK11SDR_Decrypt per estrarre credenziali salvate. Un componente dedicato raccoglie cookie e li archivia in formato JSON, ampliando il rischio di hijacking di sessione anche quando la password viene successivamente modificata.
La raccolta dati include 2FA, wallet e screenshot
Le capacità di BusySnake vanno oltre il furto classico di password. Il malware monitora la clipboard e i file locali alla ricerca di stringhe otpauth://, tipiche dei segreti usati per configurare app di autenticazione a due fattori. Questa funzione è particolarmente pericolosa perché può aggirare il vantaggio difensivo del 2FA quando gli utenti conservano backup, QR code o esportazioni dei token sul sistema compromesso. Il modulo di inventario scandisce il filesystem, registra metadati in un database SQLite e cerca stringhe esadecimali di 64 caratteri, possibili chiavi private o seed associati a wallet crittografici. Le cartelle Desktop, Documenti e Download vengono trattate come aree prioritarie per l’esfiltrazione di file, mentre gli screenshot periodici forniscono visibilità su sessioni aperte, pannelli amministrativi, wallet, documenti interni e messaggi. Il furto della cartella tdata di Telegram Desktop consente agli attaccanti di puntare alla persistenza sulle comunicazioni della vittima, soprattutto in ambienti dove Telegram viene usato per lavoro, canali informativi o coordinamento operativo. L’insieme di queste funzioni trasforma BusySnake in uno strumento di ricognizione completa, adatto sia a campagne finanziarie sia a operazioni di intelligence su target selezionati.
La catena d’infezione usa archivi, NSIS e file LNK
L’accesso iniziale avviene principalmente tramite email di spear-phishing con temi coerenti con il contesto della vittima, incluse comunicazioni governative, programmi sociali, aiuti umanitari o documenti apparentemente amministrativi. Gli allegati sono archivi compressi che contengono eseguibili NSIS self-extracting oppure file LNK. Nella variante EXE, il dropper lancia un’esca visibile, come un questionario psicologico, mentre in background scrive file temporanei, inietta codice, scarica archivi da GitHub nella directory AppData\WindowsHelper, installa Python 3.12, configura get-pip e prepara il modulo BusySnake offuscato. Script VBS possono essere usati per auto-eliminare il loader e registrare la persistenza. Nella variante LNK, il collegamento sfrutta tecniche di offuscamento della riga di comando e avvia PowerShell per scaricare il loader, mentre un documento DOCX viene aperto come esca. Il codice del loader contiene commenti verbosi ed elementi stilistici compatibili con generazione assistita da AI, inclusi pattern non necessari per un malware scritto manualmente da operatori esperti. Questa combinazione consente agli attaccanti di abbassare i tempi di sviluppo e introdurre varianti rapidamente modificabili.
Persistenza, C2 e accesso remoto aumentano il rischio
Una volta installato, BusySnake crea meccanismi di persistenza tramite task pianificati che rieseguono il malware a intervalli regolari, in alcune versioni ogni cinque minuti. Le iterazioni più recenti usano oggetti COM attraverso Schedule.Service e win32com.client, riducendo la dipendenza da script più facilmente rilevabili. La comunicazione con il server C2 avviene tramite polling periodico: le versioni precedenti utilizzano endpoint come /get_task e /report_status, mentre quelle aggiornate introducono un framework di task con stati come SCHEDULED, IN_PROGRESS, SUCCEEDED e FAILED. Il malware può eseguire in memoria script Python arbitrari dopo aver installato automaticamente dipendenze tramite pip, permettendo agli operatori di distribuire moduli aggiuntivi in base al valore del target. In caso di necessità, BusySnake può stabilire un tunnel SSH reverse verso infrastrutture controllate dagli attaccanti, scaricando chiavi private da endpoint remoti. Può inoltre installare e configurare RustDesk, strumento legittimo di accesso remoto spesso abusato perché meno sospetto rispetto a backdoor proprietarie. Questa capacità porta l’incidente oltre il furto dati iniziale e apre scenari di persistenza interattiva, movimento laterale e controllo prolungato dell’host.
PyArmor e ritardi di esecuzione complicano l’analisi
Le tecniche di evasione adottate da BusySnake riflettono una maturità crescente nell’abuso di ecosistemi legittimi. PyArmor Pro viene usato per proteggere il codice Python con decriptazione dinamica del bytecode al momento della chiamata delle funzioni e nuova cifratura dopo l’uso. Questo schema rende meno efficace l’analisi statica e riduce la quantità di codice utile presente in chiaro nella memoria in un dato istante. L’esecuzione come .pyw evita indicatori visibili per l’utente, mentre la pausa iniziale introdotta nelle versioni più recenti ostacola sandbox e sistemi automatici che osservano il campione per finestre temporali limitate. L’installazione locale di Python, l’uso di pip, la dipendenza da moduli standard e l’abuso di strumenti come RustDesk e SSH consentono al malware di confondersi con attività amministrative o di sviluppo. Per i defender, questo impone di passare da rilevamenti basati solo su hash e file malevoli a correlazioni comportamentali: interpreti Python installati in percorsi anomali, task pianificati creati da processi sospetti, polling HTTP verso endpoint non standard, accessi intensivi ai database dei browser, lettura di tdata e traffico SSH in uscita verso host non autorizzati.
Difese operative contro BusySnake e campagne simili
Le organizzazioni esposte a campagne di spear-phishing devono trattare BusySnake come una minaccia a doppio impatto: furto immediato di credenziali e possibilità di accesso remoto persistente. La prima linea di difesa resta il controllo degli allegati compressi, dei file LNK, degli eseguibili NSIS e delle catene PowerShell offuscate. A livello endpoint occorre monitorare installazioni non autorizzate di Python 3.12, esecuzioni .pyw da AppData, creazione di directory come WindowsHelper, uso anomalo di pip, task pianificati registrati tramite COM e processi che accedono simultaneamente a database di Chrome, Edge, Firefox e cartelle di Telegram Desktop. Le policy applicative dovrebbero limitare interpreti e strumenti di accesso remoto non approvati, con allowlist per Python, RustDesk, client SSH e script amministrativi. Dopo una compromissione, la rotazione delle password non basta: vanno revocati cookie e sessioni, rigenerati token 2FA, controllati wallet e chiavi private, verificati account Telegram e analizzati eventuali tunnel persistenti. La campagna di Armored Likho conferma che gli infostealer moderni non sono più semplici strumenti “smash-and-grab”, ma componenti modulari di accesso iniziale, ricognizione e spionaggio operativo.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









