ممثل تهديد غير موثق سابقًا يُعرف باسم مدرعة ليخو يُعزى ذلك إلى الهجمات السيبرانية التي استهدفت الوكالات الحكومية وقطاع الطاقة الكهربائية في جميع أنحاء روسيا والبرازيل وكازاخستان.
وقالت كاسبرسكي في تحليل فني نُشر اليوم: “تمزج لعبة Armored Likho بين الحملات ذات الدوافع المالية التي تستهدف الأفراد العاديين والتجسس الإلكتروني المستهدف الذي يستهدف المنظمات”. “تحتوي مجموعة أدواتهم على RATs المعيارية المبهمة وسرقة المعلومات المصممة خصيصًا لتجاوز التحليل الديناميكي.”
وتتميز الهجمات أيضًا باستخدام أدوات مثل Go2Tunnel للوصول عن بعد ونفق الشبكة. تسمح المجموعة المتنوعة من الأدوات الموجودة في ترسانتها لممثل التهديد بالحفاظ على الوصول المستمر إلى المضيفين المخترقين، وسرقة بيانات الاعتماد والبيانات الحساسة، وتقديم وحدات مصممة بشكل ديناميكي لتناسب ملف تعريف الضحية.
قال بائع الأمن السيبراني الروسي إن Armored Likho تشترك في تداخلات محتملة مع مجموعة تهديدات تتبعها BI.ZONE تحت لقب Eagle Werewolf، والتي كانت نشطة منذ مايو 2023. تتمتع مجموعة القرصنة بسجل حافل في استهداف المنظمات الحكومية والدفاعية، وتحديدًا تلك المشاركة في تطوير الطائرات بدون طيار وتصنيعها، باستخدام القطارات وأحصنة طروادة للوصول عن بعد (RATs) والمرافق العامة لإنشاء أنفاق SSH.
“قد يستخدم ممثلو التهديد قنوات Telegram المخترقة لتوزيع البرامج الضارة،” تشير BI.ZONE في وصفها لممثل التهديد. “في حين أن الدافع الأساسي للمجموعة هو التجسس عبر الإنترنت، فقد تم أيضًا تسجيل حملات تهدف إلى سرقة الأموال من الضحايا”.
وبالعودة إلى فبراير 2026، تمت ملاحظة قيام Eagle Werewolf باختراق قناة Telegram التي تركز على الطائرات بدون طيار لتوزيع AquilaRAT عبر قطارة Rust التي تتنكر في شكل قائمة مرجعية لتنشيط جهاز Starlink. تم أيضًا استخدام Go2Tunnel في الهجمات لإنشاء نفق SSH عكسي لخادم القيادة والتحكم (C2) باستخدام مفتاح خاص.
تظهر أحدث النتائج أن جهة التهديد قد استخدمت أيضًا أداة سرقة معلومات تعتمد على لغة Python لم يتم الإبلاغ عنها مسبقًا تسمى BusySnake Stealer والتي تستهدف أنظمة Windows، والتي تتضمن نسخة واحدة منها وحدة لسرقة ملفات تعريف الارتباط من متصفحات الويب. لا تزال الأصول الدقيقة لـ Armored Likho غير معروفة.
نقطة البداية لسلسلة الهجوم هي رسالة بريد إلكتروني للتصيد الاحتيالي تستخدم الإغراءات المتعلقة بالإشعارات الحكومية الرسمية أو البرامج الاجتماعية لتوزيع أرشيف RAR يحتوي على ثنائيات EXE التي تعمل بمثابة أدوات إسقاط للحمولات الإضافية المستردة من مستودع GitHub، بما في ذلك الحمولة السارقة.
تقوم البرامج الضارة بالقطارة أيضًا بإنشاء ملفين من ملفات Visual Basic Script (VBScript) المسؤولة عن محو آثار التنفيذ الأولي بالإضافة إلى تشغيل أداة السرقة عن طريق مهمة مجدولة.
تستخدم السلاسل البديلة اختصارات Windows (LNK) بدلاً من حمولات EXE التي تستخدم ثغرة أمنية تم تصحيحها الآن تتعلق بكيفية تعامل Windows مع هذه الملفات، مما يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد. تمت معالجة الخلل، الذي تم تتبعه باسم CVE-2025-9491 (المعروف أيضًا باسم ZDI-CAN-25373)، بواسطة Microsoft كجزء من تحديثات Patch Tuesday لشهر نوفمبر 2025. وكشفت الأدلة التي اكتشفتها Trend Micro العام الماضي أن الخلل قد تم استغلاله من قبل عشرات مجموعات القرصنة منذ عام 2017.

في سلسلة الهجمات التي وثقتها Kaspersky، يتم إساءة استخدام ثغرة الاختصار لتحفيز تنفيذ أمر PowerShell المبهم الذي يطلق أداة تحميل مسؤولة عن عرض مستند خادع، أثناء إعداد البيئة لتنفيذ أداة سرقة Python. تقوم البرامج الضارة بعد ذلك بتثبيت الثبات من خلال مزيج من ملف VBScript ومهمة مجدولة، كما كان من قبل.
يطبق السارق، المسمى BusySnake، تقنيات تهرب متعددة لتعقيد التحليل الثابت واكتشاف التجاوزات. هدفه الأساسي هو إنشاء اتصال مع خادم C2 ثم انتظار التعليمات الواردة. كما أنه يدعم الوظائف التالية –
- سرقة البيانات من حافظة النظام.
- تعداد الملفات عبر النظام وتسجيل بيانات التعريف الخاصة بها في قاعدة بيانات محلية.
- تحميل مستندات المستخدم إلى خادم C2.
- التقاط لقطات الشاشة ووضعها في دليل محلي.
- أرشفة لقطات الشاشة التي تم التقاطها وإزالة الأرشيفات التي تم إنشاؤها مسبقًا من القرص.
- منع مثيلات متعددة من السارق من التشغيل بشكل متزامن على المضيف المصاب.
- تأكد من الاستمرارية عن طريق التحقق من وجود المهمة المجدولة، وإذا لم تكن موجودة، قم بإسقاط VBScript لتسجيل مهمة مجدولة جديدة.
علاوة على ذلك، فإن الأوامر الصادرة عن خادم C2 تسمح له بالتقاط لقطات شاشة على فترات زمنية محددة، وتسجيل بيانات ضغطات المفاتيح، وجمع ملفات محفظة العملات المشفرة بامتداد JSON، وجمع جلسة Telegram وبيانات الاعتماد، وإنشاء نفق SSH عكسي باستخدام Go2Tunnel، وتثبيت RustDesk، واستخراج ملفات تعريف الارتباط من Mozilla Firefox والمتصفحات المستندة إلى Chromium، إلى جانب كلمات المرور.
إذا تم تثبيت RustDesk بالفعل على الجهاز، فسيتم تشغيل برنامج سطح المكتب البعيد مفتوح المصدر، ويُطلب من الضحية إدخال بيانات الاعتماد الخاصة به، وبعد ذلك يلتقط السارق لقطة شاشة لبيانات الاعتماد ويخرجها إلى خادم C2.
وقال كاسبيرسكي: “تقوم البرامج الضارة بفك تشفير الرمز الثانوي الخاص بها ديناميكيًا فقط في اللحظة المحددة التي يتم فيها استدعاء الوظيفة، وإعادة تشفير البيانات بعد ذلك مباشرة”. “بالإضافة إلى ذلك، تعمل البرامج الضارة في الخلفية دون ظهور نافذة وحدة التحكم، كما هو موضح في امتداد الملف PYW الخاص بها.”
قالت Kaspersky إنها حددت أيضًا إصدارًا أحدث من BusySnake يتكرر بناءً على التصميم المعماري السابق ليشمل إطارًا جديدًا لإدارة المهام للتعامل مع أوامر C2 الواردة وتعيين الحالات التشغيلية لها ديناميكيًا، مثل SCHEDULED، أو IN_PROGRESS، أو SUCCEEDED، أو FAILED، لتحسين إعداد التقارير إلى الخادم.
تنبع أيضًا علاقات ممثل التهديد بـ Eagle Werewolf من التداخلات بين AquilaRAT وBusySnake Stealer، لا سيما في الطريقة التي تتلقى بها عائلتا البرامج الضارة المهام من خادم C2، وتسجيل الثبات عبر المهام المجدولة، واستخدام نقاط نهاية مماثلة لاتصالات C2.
هناك أيضًا دلائل على أن حمولات المرحلة الأولى التي تشتمل على أدوات التحميل والتجهيز قد تم إنشاؤها على الأرجح بمساعدة أدوات الذكاء الاصطناعي (AI)، نظرًا لوجود تعليقات متكررة وكتل تعليمات برمجية.
وقالت كاسبرسكي: “تسلط هذه الحملة الضوء على العديد من الاتجاهات المتزامنة: النضج الفني المتزايد لـ Armored Likho، وتعدد أشكال الأدوات، والتحول نحو مخططات أكثر تعقيدًا تهدف إلى تجاوز الحلول الأمنية – بدءًا من تشويش كود مصدر Python إلى تضمين آليات الشبكة مباشرة في كود البرامج الضارة”.
“بالتوازي، تعمل المجموعة بقوة على تحسين وتعديل مجموعة أدواتها الأساسية. بينما كانت Go2Tunnel تعمل سابقًا كأداة مساعدة مستقلة، فقد تم الآن دمج وظيفة النفق العكسي الخاصة بها مباشرة في أداة السرقة كميزة مضمنة تستوعب المعلمات من خادم C2.”
