كشفت شركة Kaspersky عن مجموعة تهديد جديدة غير موثقة سابقًا تحمل اسم Armored Likho، حيث نفذت هجمات سيبرانية ضد وكالات حكومية وقطاع الطاقة في روسيا والبرازيل وكازاخستان. المجموعة تجمع بين حملات مالية تستهدف أفرادًا وبين تجسس إلكتروني موجه ضد مؤسسات، مستخدمة أدوات RATs ومجمّعات بيانات (Infostealers) مصممة لتجاوز التحليل الديناميكي.
أدوات وتقنيات الهجوم
- استخدام أداة Go2Tunnel لإنشاء أنفاق وصول عن بُعد عبر SSH.
- توزيع البرمجيات الخبيثة عبر قنوات Telegram مخترقة، باستخدام ملفات RAR تحتوي على برامج تنفيذية تعمل كـ “Droppers”.
- إنشاء ملفات VBScript لإخفاء آثار التنفيذ وضمان تشغيل البرمجية عبر مهام مجدولة.
- استغلال ثغرة CVE-2025-9491 في اختصارات Windows (LNK) لتنفيذ أوامر PowerShell مخفية، وهي ثغرة استُغلت منذ 2017 من قبل مجموعات متعددة.
برمجية BusySnake Stealer
البرمجية المكتوبة بلغة Python تستهدف أنظمة Windows وتتميز بقدرات متقدمة:
- سرقة بيانات من الحافظة Clipboard.
- فحص الملفات وتسجيل بياناتها في قاعدة محلية.
- رفع المستندات إلى خادم التحكم (C2).
- التقاط لقطات شاشة وأرشفتها.
- جمع بيانات محافظ العملات الرقمية (ملفات JSON).
- استخراج بيانات جلسات Telegram وكلمات المرور.
- إنشاء نفق عكسي عبر Go2Tunnel.
- تشغيل برنامج RustDesk لالتقاط بيانات دخول المستخدمين.
- سرقة ملفات تعريف الارتباط وكلمات المرور من متصفحات Firefox وChrome.
البرمجية تعتمد على تقنيات إخفاء متقدمة، حيث تُشفّر الشيفرة وتُفك فقط عند استدعاء الوظائف، ثم يُعاد تشفيرها فورًا، ما يصعّب التحليل. كما تعمل في الخلفية دون إظهار نافذة تشغيل.
ارتباطات مع مجموعة Eagle Werewolf
تشير الأدلة إلى وجود تداخل بين Armored Likho ومجموعة Eagle Werewolf التي تنشط منذ 2023، حيث استخدمت الأخيرة برمجية AquilaRAT عبر قنوات Telegram مرتبطة بتطوير الطائرات المسيّرة. كلا المجموعتين تشتركان في أساليب مثل استخدام مهام مجدولة للتثبيت الدائم، وتلقي أوامر من خوادم C2، وتوظيف أدوات نفقية مثل Go2Tunnel.
دلالات استراتيجية
تقرير Kaspersky أشار إلى أن الحملة تعكس عدة اتجاهات متزامنة:
- نضج تقني متزايد لدى Armored Likho.
- تعددية الأدوات وتطويرها بشكل مستمر.
- اعتماد تقنيات إخفاء متقدمة مثل تشفير الشيفرة المصدرية في Python.
- دمج وظائف الشبكات مباشرة داخل البرمجية لتجاوز أنظمة الحماية.
هذه التطورات تؤكد أن المهاجمين يتجهون نحو بناء أدوات أكثر تعقيدًا ومرونة، قادرة على الجمع بين التجسس الإلكتروني والسرقة المالية، مع استغلال منصات مفتوحة المصدر وقنوات اجتماعية لتوزيع البرمجيات الخبيثة.






























