Nach Angaben von Kaspersky beginnen die Angriffe mit Spear-Phishing-E-Mails, die Archive mit schädlichen ausführbaren Dateien oder Windows-Verknüpfungsdateien enthalten. Diese Dateien sind als scheinbar harmlose Dokumente getarnt, etwa als psychologische Tests, Anträge auf humanitäre Hilfe oder Bescheinigungen zur Schuldenbereinigung.

Je nach Lockmittel startet die erste Schadstufe eine passende Köderanwendung oder ein unauffällig wirkendes Dokument, um das Opfer abzulenken, während im Hintergrund die nächste Phase des Angriffs ausgeführt wird. In einer von Kaspersky beobachteten Variante zeigte das bösartige Archiv einen vermeintlich legitimen psychologischen Fragebogen an, während ein Dropper unbemerkt weitere Malware entpackte und startete.

Hinweise auf den Einsatz von KI sieht Kaspersky im Programmierstil und in eingebetteten Kommentaren einiger Loader-Komponenten aus den frühen Phasen der Angriffe. „Die Analyse der Kampagnen von Armored Likho in den vergangenen Monaten zeigt einen Trend zur Nutzung von KI-Werkzeugen für die Erzeugung von Nutzlasten der ersten Stufe, was sich an überflüssigen Kommentaren und Code-Blöcken zeigt“, erklärte Kaspersky. Das erlaube der Gruppe, ihre verfügbaren Angriffsvektoren zu erweitern.

Die letzte Schadstufe ist laut Kaspersky der zentrale Baustein der Kampagne: der bisher nicht dokumentierte Python-Infostealer BusySnake Stealer. Die Analyse des Herstellers zeigt, dass die Malware ein breites Spektrum sensibler Informationen von kompromittierten Systemen einsammeln kann. Dazu zählen in Browsern gespeicherte Passwörter und Cookies, Inhalte der Zwischenablage, kryptografische Schlüssel, Daten aus Messaging- und Authentifizierungsanwendungen sowie Sitzungsinformationen von Telegram.

BusySnake kann nach Kaspersky-Angaben zudem Reverse-SSH-Tunnel auf kompromittierten Systemen einrichten oder Fernzugriffssoftware ausrollen, damit die Angreifer einen dauerhaften interaktiven Zugang behalten. Zusätzlich unterstützt die Malware einen Command-and-Control-Kanal, über den bei Bedarf weitere Befehle übermittelt werden können.

Besonders auffällig ist für Kaspersky die Vielzahl an Techniken, mit denen BusySnake Erkennung und Analyse erschweren soll. Die Angreifer verwenden demnach das kommerzielle Verschleierungswerkzeug PyArmor Pro, um den Python-Bytecode der Malware zu verschlüsseln. Funktionen werden nur bei Bedarf entschlüsselt und direkt nach ihrer Nutzung wieder verschlüsselt.

Außerdem läuft die Schadsoftware laut Kaspersky still, ohne ein Konsolenfenster zu öffnen. Sie nutzt einen unkonventionellen Sperrdatei-Mechanismus, damit nicht mehrere Kopien gleichzeitig laufen, filtert die Dateien, die sie scannt und exfiltriert, und integriert viele Netzwerkfunktionen direkt in den Code, statt auf externe Werkzeuge zurückzugreifen. Zusammen mit der modularen Architektur und mehreren Malware-Versionen erschwere das die Analyse erheblich.

„Diese Kampagne verdeutlicht mehrere gleichzeitige Entwicklungen: die wachsende technische Reife von Armored Likho, die Wandelbarkeit der Werkzeuge und eine Verschiebung hin zu komplexeren Verfahren zur Umgehung von Sicherheitslösungen – von der Verschleierung des Python-Quellcodes bis zur direkten Einbettung von Netzwerkmechanismen in den Malware-Code“, so Kaspersky.

Einen staatlichen Auftraggeber nennt Kaspersky nicht. Die Kampagne wirke jedoch auf das Abgreifen von Zugangsdaten und den langfristigen interaktiven Zugriff in Umgebungen von Behörden und Betreibern kritischer Infrastruktur ausgerichtet. Der Sicherheitsanbieter hat nach eigenen Angaben Indikatoren für eine Kompromittierung und weitere Informationen veröffentlicht, mit denen Organisationen Aktivitäten von Armored Likho prüfen und blockieren können.