Хакеры маскируют вредоносный софт под психологические тесты для атак на госсектор и энергетику
© Сгенерировано ИИ
Эксперты «Лаборатории Касперского» обнаружили активную киберкампанию новой хакерской группировки Armored Likho, нацеленную на государственные органы и предприятия электроэнергетики, сообщает официальный сайт компании. Для проникновения в корпоративные сети злоумышленники рассылают фишинговые письма с вредоносными вложениями, замаскированными под психологические опросы или анкеты для получения гуманитарной помощи. На данный момент факты заражения зафиксированы в России, Казахстане и Бразилии.
Механизм заражения
Атака начинается с точечной фишинговой рассылки. Чтобы ввести жертву в заблуждение, названия вредоносных архивов полностью соответствуют заявленной теме письма. При открытии файла на экране пользователя запускается реальный психологический тест или документ-приманка, пока в фоновом режиме разворачивается многоэтапная цепочка загрузки.
Итогом атаки становится внедрение нового стилера BusySnake, написанного на языке Python и ориентированного на Windows-системы. Вредоносная программа обладает обширным функционалом:
- собирает данные из буфера обмена;
- копирует конфиденциальные файлы и отправляет их на командный сервер;
- перехватывает сохраненные пароли в Mozilla Firefox и браузерах на базе Chromium;
- использует отдельный модуль для кражи файлов cookie.
В коде BusySnake предусмотрено несколько механизмов для обхода защитных систем и усложнения статического анализа. При этом первичные загрузчики, доставляющие стилер на компьютер, по оценке аналитиков, были созданы с привлечением инструментов искусственного интеллекта — на это указывают избыточные комментарии и специфическая структура блоков кода.
Организаторы кампании
С высокой долей вероятности за операцией стоит ранее не описанная группировка Armored Likho. Ее участники совмещают кибершпионаж против организаций с атаками на обычных пользователей ради финансовой выгоды.
Наблюдения за последние месяцы показывают, что хакеры активно модифицируют свои инструменты. В актуальной кампании они отказались от использования утилиты Go2Tunnel в качестве отдельного элемента, интегрировав ее функции прямо в тело стилера (теперь она управляется командами со стороны сервера злоумышленников). Также в архитектуре BusySnake прослеживается техническое сходство с другим известным инструментом этой же группы — трояном AquilaRAT.
Рекомендации по защите инфраструктуры
Для противодействия угрозам подобного уровня специалистам рекомендуют реализовать комплекс превентивных мер:
- Организовать регулярное обучение персонала базовым правилам цифровой гигиены и методам распознавания фишинга.
- Использовать современные системы защиты конечных устройств (EDR) и платформы класса XDR для раннего выявления сложных инфраструктурных угроз.
- Обеспечить ИБ-подразделения оперативным доступом к аналитическим данным Threat Intelligence для отслеживания актуальных тактик хакеров.
- Сформировать детальный план реагирования на инциденты с четким распределением зон ответственности и сценариев действий при взломе.
Читайте также: Облака без иллюзий: чему на самом деле научился рынок IaaS к 2026 году
Благодарим за оставленный Вами отзыв! Мы стараемся становиться лучше!

