Zırhlı Likho olarak bilinen, daha önce belgelenmemiş bir tehdit aktörünün Rusya, Brezilya ve Kazakistan'daki devlet kurumlarını ve elektrik enerjisi sektörünü hedef alan siber saldırılara atfedildiği belirtildi.
Kaspersky bugün yayınlanan bir teknik analizde, "Zırhlı Likho, özel kişileri hedef alan mali amaçlı kampanyaları kuruluşlara yönelik hedefli siber casuslukla harmanlıyor." dedi. "Araç kitleri, dinamik analizi atlamak için özel olarak tasarlanmış, gizlenmiş, modüler RAT'lar ve bilgi hırsızları içeriyor."
Saldırılar aynı zamanda uzaktan erişim ve ağ tünelleme için Go2Tunnel gibi araçların kullanılmasıyla da karakterize ediliyor. Cephaneliğindeki çok çeşitli araçlar, tehdit aktörünün güvenliği ihlal edilmiş ana bilgisayarlara kalıcı erişimi sürdürmesine, kimlik bilgilerini ve hassas verileri çalmasına ve kurbanın profiline göre uyarlanmış modülleri dinamik olarak sunmasına olanak tanır.
Rus siber güvenlik sağlayıcısı, Armored Likho'nun, Mayıs 2023'ten bu yana aktif olan Eagle Werewolf adı altında BI.ZONE tarafından takip edilen bir tehdit kümesiyle olası örtüşmeleri paylaştığını söyledi. Bilgisayar korsanlığı grubunun, damlalıklar, uzaktan erişim truva atları (RAT'lar) ve SSH tünelleri kurmaya yönelik araçlar kullanarak hükümet ve savunma kuruluşlarını, özellikle de İHA geliştirme ve üretiminde yer alan kuruluşları hedef alma konusunda bir geçmişi var.
Detaylar ve Etkileri
BI.ZONE, tehdit aktörüne ilişkin açıklamasında "Tehdit aktörleri, kötü amaçlı yazılımı dağıtmak için güvenliği ihlal edilmiş Telegram kanallarını kullanabilir" diyor. "Grubun birincil motivasyonu siber casusluk olsa da, kurbanlardan fon çalmayı amaçlayan kampanyalar da kaydedildi."
Sonuç ve Değerlendirme
Şubat 2026'da Eagle Werewolf'un, Starlink cihazı aktivasyonu için bir kontrol listesi gibi görünen bir Rust damlalığı aracılığıyla AquilaRAT'ı dağıtmak için drone odaklı bir Telegram kanalını tehlikeye attığı gözlemlendi. Ayrıca saldırılarında, özel bir anahtar kullanarak bir komuta ve kontrol (C2) sunucusuna ters SSH tüneli kurmak için Go2Tunnel adı verilen bir araç da kullanılıyor.
Son bulgular, tehdit aktörünün aynı zamanda Windows sistemlerini hedef alan BusySnake Stealer adlı daha önce bildirilmemiş Python tabanlı bir bilgi hırsızı kullandığını gösteriyor. Bu yazılımın bir sürümü, web tarayıcılarından çerezleri çalmak için bir modül içeriyor. Zırhlı Likho'nun kesin kökenleri hala bilinmiyor.
Teknik Analiz
Saldırı zincirinin başlangıç noktası, hırsız yükü de dahil olmak üzere GitHub deposundan alınan ek yükler için damlalık işlevi gören EXE ikili dosyalarını içeren bir RAR arşivini dağıtmak için resmi hükümet bildirimleri veya sosyal programlarla ilgili tuzakları kullanan hedef odaklı kimlik avı e-postasıdır.
Dropper kötü amaçlı yazılımı ayrıca, ilk yürütmenin izlerini silmekten ve zamanlanmış bir görev aracılığıyla hırsızı başlatmaktan sorumlu olan iki Visual Basic Komut Dosyası (VBScript) dosyası oluşturur.
Sistem Güvenliği
Alternatif zincirler, Windows'un bu tür dosyaları nasıl işlediğiyle ilgili artık yamalanmış bir güvenlik açığını silah haline getiren EXE yükleri yerine Windows kısayollarını (LNK) kullanıyor ve bu da uzaktan kod yürütülmesine neden oluyor. CVE-2025-9491 (diğer adıyla ZDI-CAN-25373) olarak takip edilen kusur, Microsoft tarafından Kasım 2025'teki Salı Yaması güncellemelerinin bir parçası olarak giderildi. Geçen yıl Trend Micro tarafından ortaya çıkarılan kanıtlar, bu eksikliğin 2017'den bu yana bir düzine bilgisayar korsanlığı grubu tarafından silah haline getirildiğini ortaya çıkardı.
Önemli Gelişmeler
Kaspersky tarafından belgelenen saldırı zincirinde, kısayol güvenlik açığı, ortamı Python hırsızının yürütülmesi için hazırlarken, sahte bir belgeyi görüntülemekten sorumlu bir yükleyiciyi başlatan, gizlenmiş bir PowerShell komutunun yürütülmesini tetiklemek için kötüye kullanılıyor. Kötü amaçlı yazılım daha sonra, daha önce olduğu gibi, bir VBScript dosyası ve zamanlanmış bir görevin birleşimi yoluyla kalıcılık sağlıyor.
Gelecekte Ne Bekleniyor?
BusySnake adı verilen hırsız, statik analizi ve yan adım tespitini zorlaştırmak için birden fazla kaçınma tekniği uyguluyor. Birincil amacı bir C2 sunucusuyla iletişim kurmak ve ardından gelen talimatları beklemektir. Ayrıca aşağıdaki işlevleri de destekler -
Sistem panosundan veri çalın.
Nasıl Önlem Alınmalı?
Sistemdeki dosyaları numaralandırın ve bunların meta verilerini yerel bir veritabanına kaydedin.
Kullanıcı belgelerini C2 sunucusuna yükleyin.
Uzmanların Görüşleri
Ekran görüntüleri yakalayın ve bunları yerel bir dizinde düzenleyin.
Yakalanan ekran görüntülerini arşivleyin ve önceden oluşturulmuş arşivleri diskten kaldırın.
Çalıcının birden fazla örneğinin virüslü ana bilgisayarda aynı anda çalışmasını önleyin.
Zamanlanmış görevin var olup olmadığını kontrol ederek kalıcılığı sağlayın ve yoksa yeni bir zamanlanmış görevi kaydetmek için bir VBScript bırakın.
Ayrıca, C2 sunucusu tarafından verilen komutlar, belirli aralıklarla ekran görüntüleri almasına, tuş vuruşlarını kaydetmesine olanak tanır. verileri toplayabilir, JSON uzantılı kripto para birimi cüzdan dosyalarını toplayabilir, Telegram oturumu ve kimlik bilgisi verilerini toplayabilir, Go2Tunnel kullanarak ters SSH tüneli kurabilir, RustDesk'i kurabilir ve şifrelerle birlikte Mozilla Firefox ve Chromium tabanlı tarayıcılardan çerezleri çıkarabilir.
RustDesk makinede zaten kuruluysa, açık kaynaklı uzak masaüstü yazılımı başlatılıyor ve kurbandan kimlik bilgilerini girmesi isteniyor. Bunun ardından hırsız, kimlik bilgilerinin ekran görüntüsünü alıp C2 sunucusuna sızdırıyor.
Kaspersky, "Kötü amaçlı yazılım, yalnızca bir işlev çağrıldığı anda dinamik olarak bayt kodunu çözüyor ve hemen ardından verileri yeniden şifreliyor." dedi. "Ek olarak, kötü amaçlı yazılım, PYW dosya uzantısının da gösterdiği gibi, bir konsol penceresi oluşturmadan arka planda çalışıyor."
Kaspersky ayrıca BusySnake'in, gelen C2 komutlarını işlemek ve sunucuya daha iyi raporlama sağlamak için bunlara SCHEDULED, IN_PROGRESS, SUCCEEDED veya FAILED gibi operasyonel durumları dinamik olarak atamak için yeni bir görev yönetimi çerçevesi içerecek şekilde öncekinin mimari tasarımını yineleyen daha yeni bir sürümünü belirlediğini söyledi.
Tehdit aktörünün Eagle Werewolf ile olan bağları, özellikle her iki kötü amaçlı yazılım ailesinin de C2 sunucusundan görevler alması, zamanlanmış görevler aracılığıyla kalıcılığı kaydetmesi ve C2 iletişimleri için benzer uç noktaları kullanması açısından AquilaRAT ve BusySnake Stealer arasındaki örtüşmelerden kaynaklanıyor.
Ayrıca, gereksiz yorumların ve kod bloklarının varlığı göz önüne alındığında, yükleyiciler ve aşamalandırıcılardan oluşan ilk aşama yüklerinin muhtemelen yapay zeka (AI) araçlarının yardımıyla oluşturulduğuna dair işaretler var.
Kaspersky, "Bu kampanya, eş zamanlı birçok trendin altını çiziyor: Armored Likho'nun artan teknik olgunluğu, araç polimorfizmi ve Python kaynak kodunu gizlemekten ağ mekanizmalarını doğrudan kötü amaçlı yazılım koduna yerleştirmeye kadar güvenlik çözümlerini atlamayı amaçlayan daha karmaşık planlara doğru bir geçiş." dedi.
"Buna paralel olarak grup, temel araç setini agresif bir şekilde geliştiriyor ve değiştiriyor. Go2Tunnel daha önce bağımsız bir yardımcı program olarak çalışırken, ters tünelleme işlevi artık C2 sunucusundan parametreleri alan yerleşik bir özellik olarak doğrudan hırsıza entegre edildi."