一個從未被公開記錄的黑客組織“Armored Likho”,近期被安全廠商捕獲到連續攻擊行動。該組織瞄準俄羅斯、巴西和哈薩克斯坦的政府機構及電力行業,行動兼具經濟動機與網絡間諜目的。卡巴斯基在今天發布的技術分析中指出,“Armored Likho將針對個人的資金竊取活動與針對組織的定向網絡間諜行動糅合在一起”,其武器庫包含經過高度混淆的模塊化遠程訪問木馬和信息竊取程序,專門設計用于規避動態分析。
為了維持對受感染主機的長期控制,攻擊者使用了Go2Tunnel這類工具來實現遠程訪問和網絡隧道。這種多樣化的工具組合,讓Armored Likho能夠竊取憑證、敏感數據,并可動態下發量身適配的載荷模塊,持續擴大損害。
![]()
卡巴斯基認為,Armored Likho與BI.ZONE所追蹤的“Eagle Werewolf”活動集群存在明顯重疊。后一個黑客組織至少從2023年5月起就一直活躍,主要攻擊政府和國防機構,尤其盯上無人機研發與制造單位,慣用手法包括投放器、遠程訪問木馬,以及用于建立SSH隧道的工具。BI.ZONE在描述中提到,“攻擊者可能利用已被入侵的電報頻道來分發惡意軟件。雖然該組織主要動機是網絡間諜,但以竊取受害者資金為目標的行動也有記錄。”
就在2026年2月,Eagle Werewolf曾拿下一個專注無人機話題的電報頻道,通過一個偽裝成星鏈設備激活清單的Rust投放器來散布AquilaRAT木馬。同一團伙在攻擊中還使用Go2Tunnel,借助私鑰與命令控制服務器建立反向SSH隧道。這類手段與Armored Likho當前暴露的戰術高度相似。
最新的發現表明,Armored Likho還動用一個此前未曝光的信息竊取程序——BusySnake Stealer。這個基于Python的竊密工具專門針對Windows系統,其中一個版本包含從網頁瀏覽器竊取Cookie的模塊。目前該組織的確切起源仍不清楚。
整個攻擊鏈的起點是一封魚叉郵件,郵件利用看似政府通告或社會計劃相關的誘餌,誘導收件人打開內附的一個RAR壓縮包。壓縮包里藏著多種EXE可執行文件,它們充當投放器,從GitHub倉庫拉取后續載荷,其中就包括竊取Payload。投放器還會在系統中生成兩個VBScript腳本文件,一個負責抹除初次執行的痕跡,另一個通過計劃任務來啟動信息竊取程序。
除了常規的EXE投放路徑,部分攻擊鏈改用Windows快捷方式(LNK文件)替代可執行文件載荷,并利用一個已修復的漏洞來實現遠程代碼執行。該漏洞編號為CVE-2025-9491(亦稱ZDI-CAN-25373),微軟已在當月周二補丁日修復。這意味著攻擊者在漏洞修補前,就已將其武器化并投入到對政府及關鍵基礎設施的定向打擊中。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.