Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

El paquete npm relacionado con Corea del Norte imita el polyfill acumulativo para robar secretos de los desarrolladores

El Likho blindado apunta a agencias gubernamentales y al sector energético con BusySnake Stealer

Reducir el consumo de carne y lácteos podría reducir las emisiones sin aumentar los costos dietéticos

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»El Likho blindado apunta a agencias gubernamentales y al sector energético con BusySnake Stealer
Identidad

El Likho blindado apunta a agencias gubernamentales y al sector energético con BusySnake Stealer

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 3, 2026No hay comentarios6 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Se cree que un actor previamente indocumentado conocido como Armored Likho llevó a cabo ataques cibernéticos contra agencias gubernamentales y el sector energético en Rusia, Brasil y Kazajstán.

«Armored Likho combina campañas motivadas financieramente dirigidas a individuos con ciberespionaje dirigido a organizaciones», afirmó Kaspersky Lab en un análisis técnico publicado hoy. «Su conjunto de herramientas incluye RAT modulares ofuscados y ladrones de información diseñados específicamente para eludir el análisis dinámico».

Este ataque también incluye el uso de herramientas como Go2Tunnel para acceso remoto y tunelización de red. Utilizando una variedad de herramientas en su arsenal, los atacantes pueden mantener un acceso persistente a los hosts comprometidos, robar credenciales y datos confidenciales y entregar dinámicamente módulos adaptados a los perfiles de las víctimas.

El proveedor ruso de ciberseguridad dijo que Armored Likho puede superponerse con un grupo de amenazas rastreado por BI.ZONE con el nombre «Eagle Werewolf» que ha estado activo desde mayo de 2023. Este grupo de piratas informáticos tiene un historial de atacar específicamente a agencias gubernamentales y de defensa involucradas en el desarrollo y producción de vehículos aéreos no tripulados utilizando cuentagotas, troyanos de acceso remoto (RAT) y utilidades para establecer túneles SSH.

«Los actores de amenazas pueden utilizar canales de Telegram comprometidos para distribuir malware», señala BI.ZONE en la descripción del actor de amenazas. «Aunque el motivo principal del grupo es el ciberespionaje, también se ha documentado que opera con el objetivo de robar fondos de las víctimas».

En febrero de 2026, se observó a Eagle Werewolf comprometiendo un canal de Telegram dedicado a drones y distribuyendo AquilaRAT a través de un cuentagotas Rust disfrazado de lista de verificación de activación de dispositivo Starlink. El ataque también utiliza una herramienta llamada Go2Tunnel, que utiliza una clave privada para establecer un túnel SSH inverso a un servidor de comando y control (C2).

Según los últimos hallazgos, los atacantes también están utilizando un ladrón de información basado en Python no denunciado anteriormente y dirigido a sistemas Windows llamado BusySnake Stealer, una versión del cual incluye un módulo que roba cookies de los navegadores web. Los orígenes exactos del Likho Blindado siguen siendo desconocidos.

La cadena de ataque comienza con un correo electrónico de phishing que utiliza señuelos relacionados con notificaciones oficiales del gobierno o programas sociales para distribuir archivos RAR que contienen binarios EXE que actúan como goteros para cargas útiles adicionales (incluidas cargas útiles de ladrones) obtenidas de los repositorios de GitHub.

El malware dropper también crea dos archivos Visual Basic Script (VBScript) que son responsables de borrar cualquier rastro de la ejecución inicial e iniciar el ladrón mediante una tarea programada.

La cadena alternativa aprovecha los accesos directos de Windows (LNK) en lugar de las cargas EXE y está armada con vulnerabilidades actualmente parcheadas relacionadas con la forma en que Windows maneja dichos archivos, lo que lleva a la ejecución remota de código. Microsoft solucionó la falla, rastreada como CVE-2025-9491 (también conocida como ZDI-CAN-25373), como parte de la actualización del martes de parches de noviembre de 2025. La evidencia descubierta por Trend Micro el año pasado reveló que la falla había sido utilizada como arma por más de una docena de grupos de hackers desde 2017.

La cadena de ataque documentada por Kaspersky explota una vulnerabilidad de acceso directo para desencadenar la ejecución de un comando PowerShell ofuscado, lanzando un cargador que muestra un documento señuelo mientras prepara el entorno de ejecución para un ladrón de Python. Luego, el malware establece persistencia a través de una combinación de archivos VBScript y tareas programadas, como antes.

Este ladrón, llamado BusySnake, implementa múltiples técnicas de evasión para complicar el análisis estático y la detección de evasión. Su objetivo principal es establecer comunicación con el servidor C2 y esperar instrucciones entrantes. También admite las siguientes características:

Roba datos del portapapeles del sistema. Enumera archivos de todo el sistema y registra sus metadatos en una base de datos local. Cargue documentos de usuario al servidor C2. Tome una captura de pantalla y colóquela en un directorio local. Archive las capturas de pantalla capturadas y elimine del disco los archivos creados previamente. Evita que se ejecuten varias instancias de ladrón simultáneamente en un host infectado. Compruebe si la tarea programada existe para garantizar la persistencia y, si no, elimine VBScript para registrar una nueva tarea programada.

Además, los comandos emitidos por el servidor C2 permiten tomar capturas de pantalla en intervalos específicos, registrar datos de pulsaciones de teclas, recopilar archivos de billetera de criptomonedas con extensiones JSON, recopilar datos de credenciales y sesiones de Telegram, establecer túneles SSH inversos utilizando Go2Tunnel, instalar RustDesk y extraer cookies y contraseñas de los navegadores basados ​​en Mozilla Firefox y Chromium.

Si RustDesk ya está instalado en la máquina, se iniciará el software de escritorio remoto de código abierto y se solicitarán las credenciales a la víctima. Luego, el ladrón toma una captura de pantalla de las credenciales y las extrae a un servidor C2.

«El malware descifra dinámicamente el código de bytes sólo en el momento en que se llama a la función e inmediatamente vuelve a cifrar los datos», dijo Kaspersky. «Además, como lo indica la extensión de archivo PYW, el malware se ejecuta en segundo plano sin mostrar una ventana de consola».

Kaspersky también afirmó que se ha identificado una nueva versión de BusySnake. Reitera el diseño arquitectónico de su predecesor e incorpora un nuevo marco de gestión de tareas que asigna dinámicamente estados operativos como PROGRAMADO, EN PROGRESO, EXITOSO y FALLADO para procesar los comandos C2 entrantes y mejorar los informes al servidor.

La relación del actor de amenazas con Eagle Werewolf también surge de la superposición entre AquilaRAT y BusySnake Stealer, particularmente en la forma en que ambas familias de malware reciben tareas de los servidores C2, registran la persistencia a través de tareas programadas y utilizan puntos finales similares para las comunicaciones C2.

También hay indicios de que la carga útil de la primera etapa que comprende el cargador y el preparador de etapas probablemente se generó con la ayuda de herramientas de inteligencia artificial (IA), dada la presencia de comentarios y bloques de código redundantes.

«Esta campaña destaca varias tendencias simultáneas: la creciente madurez técnica de Armored Likho, el polimorfismo de sus herramientas y el cambio hacia esquemas más complejos destinados a eludir las soluciones de seguridad, desde ofuscar el código fuente de Python hasta incorporar mecanismos de red directamente en el código de malware», dijo Kaspersky.

«Paralelamente, el grupo está mejorando y arreglando activamente el conjunto de herramientas principal. Si bien Go2Tunnel anteriormente operaba como una utilidad independiente, su funcionalidad de túnel inverso ahora está integrada directamente en el ladrón como una característica incorporada que extrae parámetros del servidor C2».


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleReducir el consumo de carne y lácteos podría reducir las emisiones sin aumentar los costos dietéticos
Next Article El paquete npm relacionado con Corea del Norte imita el polyfill acumulativo para robar secretos de los desarrolladores
corp@blsindustriaytecnologia.com
  • Website

Related Posts

El paquete npm relacionado con Corea del Norte imita el polyfill acumulativo para robar secretos de los desarrolladores

julio 3, 2026

Miembro del Parlamento Europeo investiga software espía pirateado con Pegasus

julio 3, 2026

PamStealer utiliza sitios Maccy falsos y comprobaciones PAM para robar contraseñas de inicio de sesión de Mac

julio 3, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

El paquete npm relacionado con Corea del Norte imita el polyfill acumulativo para robar secretos de los desarrolladores

El Likho blindado apunta a agencias gubernamentales y al sector energético con BusySnake Stealer

Reducir el consumo de carne y lácteos podría reducir las emisiones sin aumentar los costos dietéticos

Miembro del Parlamento Europeo investiga software espía pirateado con Pegasus

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.