Kaspersky zufolge gibt es mehrere Hinweise auf Verbindungen zwischen Armored Likho und Eagle Werewolf. BI.ZONE beschreibt diesen Cluster als Gruppe, die vor allem Regierungs- und Verteidigungsorganisationen angreift, insbesondere Einrichtungen aus Entwicklung und Herstellung von unbemannten Luftfahrzeugen. Dabei kamen laut BI.ZONE Dropper, Fernzugriffs-Trojaner und Werkzeuge zum Aufbau von SSH-Tunneln zum Einsatz. In der Beschreibung des Akteurs heißt es außerdem, dass kompromittierte Telegram-Kanäle zur Verbreitung der Schadsoftware genutzt werden könnten und dass neben Cyberspionage auch Kampagnen zum Diebstahl von Geld erfasst wurden.

Im Februar 2026 wurde Eagle Werewolf demnach dabei beobachtet, einen auf Drohnen ausgerichteten Telegram-Kanal zu kompromittieren, um AquilaRAT über einen in Rust geschriebenen Dropper zu verbreiten. Dieser gab sich als Checkliste zur Aktivierung von Starlink-Geräten aus. Ebenfalls verwendet wurde Go2Tunnel, um über einen privaten Schlüssel einen umgekehrten SSH-Tunnel zu einem Command-and-Control-Server aufzubauen.

Im Mittelpunkt der aktuellen Analyse steht jedoch BusySnake Stealer, ein bislang nicht beschriebenes, in Python entwickeltes Schadprogramm für Windows. Eine Variante enthält ein Modul zum Diebstahl von Cookies aus Webbrowsern. Laut Kaspersky beginnt die Angriffskette mit einer Spear-Phishing-Mail, die mit Ködern zu offiziellen Regierungsmitteilungen oder Sozialprogrammen arbeitet. Verteilt wird ein RAR-Archiv mit EXE-Dateien, die als Dropper für weitere aus einem GitHub-Repository nachgeladene Komponenten dienen, darunter auch der Stealer.

Der Dropper legt außerdem zwei VBScript-Dateien an. Diese löschen Spuren der ersten Ausführung und starten den Stealer über eine geplante Aufgabe. In alternativen Ketten setzen die Angreifer statt EXE-Dateien auf Windows-Verknüpfungen im LNK-Format. Diese missbrauchen eine inzwischen geschlossene Schwachstelle in der Verarbeitung solcher Dateien unter Windows, die eine Remotecodeausführung ermöglicht. Die Lücke wird als CVE-2025-9491 geführt und ist auch unter der Kennung ZDI-CAN-25373 bekannt. Microsoft schloss sie im Rahmen der Patch-Tuesday-Updates für November 2025. Trend Micro hatte im vergangenen Jahr Belege dafür veröffentlicht, dass die Schwachstelle seit 2017 von einem Dutzend Hackergruppen ausgenutzt wurde.

In der von Kaspersky dokumentierten Kette löst die LNK-Schwachstelle einen verschleierten PowerShell-Befehl aus, der einen Loader startet. Dieser zeigt ein Täuschungsdokument an und bereitet zugleich die Ausführung des Python-Stealers vor. Die Persistenz erfolgt erneut über die Kombination aus VBScript-Datei und geplanter Aufgabe.

BusySnake nutzt laut Kaspersky mehrere Umgehungstechniken, um statische Analysen zu erschweren und Erkennung zu vermeiden. Hauptzweck ist die Kommunikation mit dem C2-Server und das Warten auf Befehle. Über diese Befehle kann die Schadsoftware in festgelegten Intervallen Bildschirmfotos erstellen, Tastatureingaben protokollieren, Kryptowallet-Dateien mit JSON-Erweiterung einsammeln, Telegram-Sitzungen und Zugangsdaten erfassen, über Go2Tunnel einen umgekehrten SSH-Tunnel aufbauen, RustDesk installieren sowie Cookies und Passwörter aus Mozilla Firefox und Chromium-basierten Browsern auslesen.

Ist RustDesk bereits auf dem System installiert, wird die Open-Source-Fernwartungssoftware gestartet und das Opfer zur Eingabe seiner Zugangsdaten aufgefordert. Anschließend erstellt der Stealer einen Screenshot dieser Daten und überträgt ihn an den C2-Server. Kaspersky zufolge entschlüsselt die Malware ihren Bytecode jeweils nur exakt im Moment des Funktionsaufrufs und verschlüsselt die Daten unmittelbar danach wieder. Zudem läuft sie mit der Dateiendung PYW im Hintergrund, ohne ein Konsolenfenster zu öffnen.

Kaspersky hat nach eigenen Angaben auch eine neuere BusySnake-Version identifiziert. Sie erweitert die bestehende Architektur um ein Rahmenwerk zur Aufgabenverwaltung, das eingehende C2-Befehle verarbeitet und ihnen Statuswerte wie „geplant“, „in Bearbeitung“, „erfolgreich“ oder „fehlgeschlagen“ zuweist, um die Rückmeldung an den Server zu verbessern. Weitere Überschneidungen mit Eagle Werewolf sieht Kaspersky in Gemeinsamkeiten zwischen AquilaRAT und BusySnake, etwa bei der Annahme von Aufgaben vom C2-Server, bei der Einrichtung von Persistenz über geplante Aufgaben und bei ähnlichen Endpunkten für die C2-Kommunikation.

Zugleich gibt es laut Kaspersky Anzeichen dafür, dass Loader und Stager der ersten Phase wahrscheinlich mit Unterstützung von KI-Werkzeugen erzeugt wurden. Als Indiz nennt das Unternehmen redundante Kommentare und Codeblöcke. Insgesamt zeige die Kampagne eine wachsende technische Reife von Armored Likho, Werkzeug-Polymorphie und komplexere Methoden zur Umgehung von Sicherheitslösungen. Kaspersky verweist dabei unter anderem auf die Verschleierung des Python-Quellcodes und darauf, dass die Funktion für umgekehrte Tunnel, die zuvor als eigenständiges Go2Tunnel-Werkzeug arbeitete, inzwischen direkt als eingebaute Funktion in den Stealer integriert wurde und ihre Parameter vom C2-Server bezieht.