Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Un ratto robotico feroce e con gli occhi rossi, che sta mangiando con i denti affilati un cavo di rete.

Kaspersky segnala un gruppo APT che spia governo ed energia con codice Python

8 Luglio 2026 08:42
In sintesi

Il gruppo APT Armored Likho ha lanciato una nuova campagna di phishing contro organizzazioni governative e il settore elettrico in Russia, Brasile e Kazakistan. Utilizzano BusySnake Stealer, un malware scritto in Python che sfrutta l'intelligenza artificiale per offuscare le tecniche di attacco. Gli aggressori combinano attacchi finanziari con spionaggio informatico, utilizzando strumenti modulari per il controllo nascosto degli host compromessi e l'esfiltrazione di informazioni sensibili.

Durante il monitoraggio delle minacce, gli esperti di sicurezza informatica di Kaspersky hanno identificato una nuova campagna di phishing correlata alle attività di un gruppo APT precedentemente sconosciuto, chiamato dagli esperti Armored Likho (secondo prove indirette, noto anche come Eagle Werewolf).

Una serie di attacchi sono rivolti ad organizzazioni governative e del settore elettrico. La geografia degli attacchi interessa Russia, Brasile e Kazakistan, il che conferma lo status di attore internazionale.

Il gruppo combina attacchi a sfondo finanziario contro utenti privati con spionaggio informatico contro organizzazioni.

Advertising

Gli aggressori utilizzano esempi modulari e offuscati di RAT e infostealer con funzioni per aggirare strumenti di analisi dinamica, nonché strumenti più semplici.

In particolare Go2Tunnel per poter attuare accesso remoto e tunneling.

Questo insieme di malware consente agli aggressori di implementare il controllo nascosto degli host compromessi, esfiltrare credenziali e altre informazioni sensibili ed espandere in modo flessibile le funzionalità attraverso moduli caricabili a seconda del profilo della vittima e delle attività assegnate.

Esempio di repository di payload

Il gruppo utilizza uno strumento precedentemente non descritto che gli esperti hanno chiamato BusySnake Stealer. Questo ladro è scritto in Python ed è progettato per attaccare i sistemi Windows. È stato scoperto che sono presenti molteplici versioni del malware, nonché un modulo aggiuntivo per rubare i cookie.

Il malware della prima fase (downloader e stager) viene generato utilizzando l’intelligenza artificiale, che offusca il TTP degli aggressori, rendendo difficile l’attribuzione degli attacchi.

Advertising

Durante l’analisi, sono stati identificati segnali che indicano che gli operatori della campagna parlano ucraino, sulla base di artefatti linguistici e infrastrutturali.

Questa campagna dimostra diverse tendenze contemporaneamente: la crescente maturità tecnica di Armored Likho, il polimorfismo degli strumenti e la transizione verso schemi più complessi nel tentativo di aggirare le soluzioni di sicurezza, dall’offuscamento del codice sorgente Python all’introduzione di meccanismi di rete direttamente nel codice del malware. 


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Chiara Nardini 2025 3 300x300
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.
Aree di competenza: Cyber threat Intelligence, Incident Response, sicurezza nazionale, divulgazione