Nach Erkenntnissen von Kaspersky setzt Armored Likho beim Erstzugriff hauptsächlich auf Spear-Phishing. Die per E-Mail verschickten Archive enthalten ausführbare Dateien oder LNK-Dateien. Nach dem Öffnen wird dem Opfer ein Täuschungsdokument angezeigt, während die eigentliche Infektion im Hintergrund abläuft.
Kaspersky beobachtete dabei einen Loader, der über eine solche ausführbare Datei in den Arbeitsspeicher eingeschleust wurde und anschließend Archive aus GitHub-Repositories abrief. Diese Repositories enthielten frühe Entwicklungsstände und Testmuster der Malware. Bei den LNK-Dateien wird laut Kaspersky ebenfalls ein gefälschtes Dokument angezeigt, während im Hintergrund ein Python-3.12-Interpreter und ein Archiv nachgeladen werden.
Zu den nachgeladenen Komponenten gehört ein Python-basierter Infostealer, den Kaspersky als BusySnake Stealer verfolgt. Die Schadsoftware verfügt über mehrere Techniken zur Umgehung von Erkennung und entschlüsselt ihren Bytecode dynamisch erst beim Aufruf einer Funktion, um ihn unmittelbar danach wieder zu verschlüsseln. Außerdem läuft sie im Hintergrund ohne Konsolenfenster.
Der Stealer bringt mehrere Handler für unterschiedliche Funktionen mit. Dazu zählen laut Kaspersky das Auslesen der Zwischenablage, das Auflisten von Dateien, das Extrahieren 64 Zeichen langer hexadezimaler Schlüssel, der Abzug von Dokumenten, das Erstellen und Archivieren von Bildschirmfotos, Prüfungen auf Persistenz sowie das Ausführen von Befehlen.
Abhängig von den Befehlen des Command-and-Control-Servers kann BusySnake Stealer Bildschirmfotos aufnehmen, protokollierte Tastatureingaben exfiltrieren, gespeicherte Passwörter aus Chromium-basierten und Firefox-Browsern entschlüsseln, Cookies aus Browsern extrahieren, das System nach OTP-Schlüsseln durchsuchen, Kryptowallets finden, Telegram-Sitzungen und Zugangsdaten abgreifen, einen umgekehrten SSH-Tunnel einrichten und RustDesk neu starten, um Zugangsdaten der Nutzer zu erfassen.
Vor BusySnake Stealer nutzte Armored Likho laut Kaspersky Go2Tunnel, um einen umgekehrten SSH-Tunnel aufzubauen. Inzwischen wurde diese Funktion in den Infostealer integriert. Dadurch kann die Malware den Angreifern einen dauerhaften Fernzugriff und interaktive Kontrolle über das System des Opfers verschaffen.
Kaspersky sieht zudem Überschneidungen zwischen den Operationen von Armored Likho und Aktivitäten von Eagle Werewolf. Die Gruppe war zuvor beim Einsatz des Remote-Access-Trojaners AquilaRAT beobachtet worden, der laut Kaspersky eine ähnliche Struktur und einen ähnlichen Persistenzmechanismus wie BusySnake Stealer aufweist.
