// 5 CVE · 1 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Il gruppo APT Armored Likho colpisce agenzie governative e operatori del settore elettrico in Russia, Brasile e Kazakhstan con lo stealer BusySnake. L'uso di PyArmor

Il gruppo APT Armored Likho, scoperto da Kaspersky, conduce campagne di cyber-espionaggio e attacchi finanziari contro agenzie governative e operatori del settore elettrico in Russia, Brasile e Kazakhstan. L'analisi tecnica pubblicata il 3 luglio 2026 documenta un arsenale malware in cui lo stealer Python-based BusySnake rappresenta l'elemento più evoluto, protetto da PyArmor Pro 9.2.0 con decrittazione dinamica del bytecode e segni evidenti di generazione AI nei payload di primo stadio. La campagna segnala un punto di svolta: le tecniche tradizionali di attribution basate su stile di codifica perdono efficacia contro strumenti commerciali di offuscamento e linguaggi di modelli generativi.

Punti chiave
  • Armored Likho targetta agenzie governative e operatori del settore elettrico in Russia, Brasile e Kazakhstan, con campagne che combinano cyber-espionaggio e fini finanziari.
  • BusySnake Stealer utilizza PyArmor Pro 9.2.0 con decrittazione runtime selettiva del bytecode: ogni funzione viene decifrata solo al momento della chiamata e subito re-cifrata, impedendo l'analisi statica completa.
  • I vettori di accesso iniziale includono file LNK che sfruttano CVE-2025-9491 (ZDI-CAN-25373), vulnerabilità patchata da Microsoft nel novembre 2025 ma ancora efficace su sistemi non aggiornati.
  • I payload di primo stadio mostrano caratteristiche di generazione AI: commenti verbosi, emoji a punto elenco, blocchi di codice ridondanti, coerenti con output di modelli linguistici documentati da Arctic Wolf Labs in oltre 22.000 file.

Il vettore LNK e la vulnerabilità CVE-2025-9491

Gli operatori di Armored Likho impiegano spear-phishing con allegati archivio contenenti eseguibili NSIS o file LNK malevoli. I file LNK sfruttano CVE-2025-9491, identificata anche come ZDI-CAN-25373: una vulnerabilità di interpretazione dell'interfaccia utente che consente di nascondere argomenti di comando malevoli tramite padding whitespace. La finestra delle proprietà di Windows visualizza solo i primi 260 caratteri, rendendo invisibile il payload reale agli utenti e a molti strumenti di analisi automatica.

Microsoft ha patchato silenziosamente CVE-2025-9491 durante il Patch Tuesday di novembre 2025, secondo quanto documentato da The Hacker News. La vulnerabilità era però sfruttata attivamente dal 2017 da vari gruppi, lasciando una finestra di esposizione di circa otto anni su sistemi non aggiornati. Il fatto che Armored Likho la riutilizzi nel 2026 indica che il parco di sistemi legacy nei settori targettizzati resta significativo.

BusySnake: anatomia dello stealer e l'evasione con PyArmor Pro

BusySnake Stealer rappresenta il payload principale dell'operazione. Scritto in Python e distribuito come file .pyw per evitare la visualizzazione della finestra console, lo strumento implementa un meccanismo di protezione che sfida le tecniche forensi convenzionali. Secondo TechTimes, che riporta l'analisi di Kaspersky, PyArmor Pro 9.2.0 decrittizza i singoli bytecode delle funzioni solo nel momento esatto della chiamata, per re-cifrarli immediatamente dopo. Il codice completo non risiede mai in memoria in forma decifrata, rendendo inefficaci gli dump di memoria per la ricostruzione del sorgente.

Lo stealer integra funzionalità di furto credenziali multi-browser: per Chromium utilizza DPAPI Windows tramite win32crypt.CryptUnprotectData; per Firefox carica la libreria NSS e invoca NSS_Init() e PK11SDR_Decrypt(), sfruttando la pratica insicura predefinita dell'assenza di master password. TechTimes documenta inoltre la cattura screenshot, l'enumerazione dei file in database SQLite locali, l'esfiltrazione di documenti superiori a 5 MB e l'esecuzione di comandi remoti.

L'accesso remoto avviene tramite manipolazione di RustDesk: se il software è già installato, viene forzato il riavvio per sollecitare nuove credenziali con cattura screenshot; se assente, viene scaricato da repository GitHub. I payload vengono recuperati da percorsi GitHub in rotazione automatica, che contengono sia build di sviluppo che campioni di test, suggerendo un ciclo di sviluppo attivo e continuo.

Da schtasks a COM object: l'evoluzione della persistenza

Una nuova versione di BusySnake introduce un cambiamento significativo nel meccanismo di persistenza. Invece del classico comando schtasks, lo stealer utilizza il COM object Schedule.Service tramite Python win32com.client. La transizione elimina una linea di comando facilmente rilevabile dalle regole EDR, sostituendola con chiamate a oggetti di sistema meno monitorate. Il task risultante esegue il payload ogni 5 minuti, con una frequenza che garantisce riconnessione rapida in caso di interruzione.

La stessa versione introduce un framework di task-management con stati operativi definiti: SCHEDULED, IN_PROGRESS, SUCCEEDED, FAILED. Go2Tunnel, precedentemente strumento standalone, è ora integrato direttamente nello stealer come funzionalità built-in con parametri ricevuti dal server C2, consolidando l'arsenale in un unico eseguibile modulare.

"Traditional coding-style fingerprinting is a primary tool for linking new malware samples to known threat actors. AI-generated code erases those fingerprints" — TechTimes analysis

L'ombra di Eagle Werewolf e i limiti dell'attribution

Kaspersky segnala una possibile sovrapposizione tra Armored Likho e Eagle Werewolf, gruppo documentato da BI.ZONE attivo dal maggio 2023 contro governo, difesa e settore UAV in Russia. Eagle Werewolf ha impiegato AquilaRAT, la cui struttura e meccanismo di persistenza risultano simili a BusySnake. Nel febbraio 2026, Eagle Werewolf è stato osservato compromettere un canale Telegram di droni per distribuire AquilaRAT. Non emergono tuttavia sovrapposizioni infrastrutturali che colleghino con certezza i due cluster allo stato attuale: Kaspersky assegna un livello di confidence "medio" all'attribution di Armored Likho, senza indicare una nazione di origine specifica.

L'uso di generazione AI nei payload di primo stadio complica ulteriormente il quadro. Secondo TechTimes, commenti verbosi, emoji a punto elenco e blocchi di codice ridondanti sono coerenti con output di modelli linguistici. Arctic Wolf Labs ha documentato la stessa firma in oltre 22.000 file. Per Armored Likho, questa tecnica non è isolata: TechTimes la colloca tra i primi casi documentati di impiego da parte di un APT la cui missione primaria è l'espionaggio di infrastrutture critiche, piuttosto che il cybercrimine di commodity.

Cosa fare adesso

Le organizzazioni dei settori governativo ed energetico dovrebbero verificare immediatamente l'applicazione della patch Microsoft per CVE-2025-9491 del novembre 2025, con priorità sui sistemi legacy che potrebbero non aver ricevuto aggiornamenti automatici. Va condotto un audit dei scheduled task presenti nelle workstation, con attenzione alle istanze che utilizzano COM object anziché comandi schtasks espliciti. Il monitoraggio del traffico verso repository GitHub pubblici, in particolare fetch anomali da percorsi in rotazione, rappresenta un indicatore comportamentale rilevante dato il meccanismo di recupero payload documentato. Infine, l'uso non autorizzato di RustDesk o il suo riavvio improvviso dovrebbero attivare controlli di accesso remoto e verifiche delle credenziali inserite.

Perché la democratizzazione dell'evasione cambia il detection

L'assemblaggio di PyArmor Pro, strumento commerciale legittimo, con payload generati da modelli linguistici e vulnerabilità patchate ma persistenti, disegna un modello di minaccia in cui la barriera tecnica all'ingresso si abbassa mentre l'efficacia dell'attribution si degrada. I metodi forensi tradizionali — fingerprinting dello stile di codifica, analisi statica del sorgente, correlazione per artefatti di compilazione — perdono terreno contro la decrittazione runtime e la generazione automatica di codice. La rilevazione deve spostarsi verso il comportamento: pattern di rete, anomalie nell'uso di COM object, frequenze di beaconing inconsuete, accessi a repository non correlati alle attività istituzionali.

Armored Likho non introduce vulnerabilità zero-day né tecniche di exploit mai viste. La sua novità risiede nella composizione: un attore che mescola fini finanziari e geopolitici, protegge il payload con strumenti commerciali di elevata qualità, e nasconde le impronte digitali dell'autore dietro l'output di un modello generativo. Per i difensori, questo significa che la distinzione tra APT sofisticato e operatore di crimeware si assottiglia, e la risposta deve adeguarsi a un avversario che cambia faccia più velocemente di quanto le signature possano tracciare.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. securityweek.com
  2. thehackernews.com
  3. unit42.paloaltonetworks.com
  4. cvefeed.io
  5. techtimes.com
  6. gbhackers.com
  7. thehackernews.uk