

Une agence gouvernementale reçoit un email présentant une notification officielle liée à un programme social ou à un avis administratif. L'email contient une archive RAR. L'archive contient un exécutable qui, une fois lancé, télécharge silencieusement plusieurs charges depuis un dépôt GitHub, crée deux fichiers VBScript pour effacer ses traces d'exécution, installe une tâche planifiée qui lancera un stealer au prochain démarrage, et établit un tunnel SSH chiffré vers un serveur distant. L'opérateur a maintenant un accès persistant au réseau de l'agence. Il peut revenir quand il veut.
C'est la chaîne d'attaque documentée pour Armored Likho, un acteur de la menace jusqu'ici non documenté, découvert et analysé par Kaspersky dans un rapport technique publié le 3 juillet 2026. L'acteur cible les agences gouvernementales et le secteur électrique en Russie, au Brésil, et au Kazakhstan. Il combine espionnage et activité financièrement motivée. Son stealer Python inédit, BusySnake, constitue la pièce centrale de son arsenal.
Armored Likho partage des caractéristiques opérationnelles avec un cluster d'attaque suivi par BI.ZONE sous le nom Eagle Werewolf, actif depuis mai 2023. Eagle Werewolf a un historique documenté de ciblage des organisations gouvernementales et de défense, en particulier celles impliquées dans le développement et la fabrication de drones. Son arsenal comprend des droppers, des trojans d'accès distant, et des utilitaires pour établir des tunnels SSH.
Kaspersky est prudent dans son attribution : le rapport identifie des "chevauchements possibles" entre Armored Likho et Eagle Werewolf, ce qui signifie des techniques, tactiques, et procédures communes ainsi que des outils similaires, sans confirmation d'identité complète. L'origine exacte d'Armored Likho reste inconnue. Ce que le rapport confirme, c'est un profil de ciblage hybride : des campagnes financièrement motivées contre des particuliers coexistent avec des opérations d'espionnage ciblées contre des organisations spécifiques.
Cette dualité est notable. La plupart des acteurs de la menace de niveau étatique ou para-étatique opèrent principalement dans l'une ou l'autre catégorie. Un acteur capable de passer de l'espionnage industriel à la fraude financière en fonction de la cible est plus difficile à attribuer avec certitude, car les deux types d'opérations peuvent utiliser la même infrastructure tout en servant des mandataires différents.
La géographie des cibles mérite attention. La Russie, le Brésil, et le Kazakhstan représentent trois pays avec des profils très différents. La présence de la Russie dans la liste des cibles exclut une attribution directe à un état russe, puisque les acteurs alignés sur Moscou ciblent rarement leurs propres institutions gouvernementales dans leurs opérations d'espionnage. Le Brésil et le Kazakhstan partagent des secteurs énergétiques significatifs et des infrastructures critiques qui ont historiquement attiré des acteurs de la menace intéressés par le renseignement économique.
Le ciblage du secteur électrique est cohérent avec le profil d'Eagle Werewolf, qui s'intéresse aux organisations liées aux technologies militaires et aux infrastructures critiques. Les réseaux de distribution électrique sont des cibles d'espionnage attrayantes pour des adversaires qui souhaitent cartographier les vulnérabilités de l'infrastructure critique d'un pays, que ce soit pour une exploitation future ou pour un renseignement stratégique.
BI.ZONE note qu'Eagle Werewolf a également utilisé des canaux Telegram compromis pour distribuer ses malwares, notamment en février 2026, quand le groupe a pris le contrôle d'un canal Telegram dédié aux drones pour distribuer AquilaRAT via un dropper Rust se faisant passer pour une checklist d'activation d'appareils Starlink. Cette technique d'usurpation de canaux légitimes pour atteindre un public cible spécifique, ici les opérateurs de drones militaires, illustre le niveau de précision opérationnelle qu'Armored Likho/Eagle Werewolf peut déployer.
L'outil central nouvellement identifié dans cet arsenal est BusySnake Stealer, un stealer écrit en Python ciblant les systèmes Windows. Son existence n'avait pas été documentée avant le rapport Kaspersky de juillet 2026. BusySnake comprend au moins une version avec un module dédié au vol de cookies de navigateurs web.
Le choix de Python comme langage de développement est courant dans les outils d'espionnage récents, pour plusieurs raisons. Python est multiplateforme, ce qui facilite l'adaptation d'un stealer à différentes architectures cibles avec un minimum de modifications. Les binaires Python compilés avec des outils comme PyInstaller ou Nuitka sont difficiles à analyser statiquement par les moteurs antivirus traditionnels car ils contiennent l'interpréteur Python entier empaqueté avec le code. Enfin, Python offre des bibliothèques natives pour toutes les opérations courantes d'un stealer : accès au système de fichiers, manipulation des bases de données SQLite utilisées par les navigateurs, et communication réseau chiffrée.
La modularité de BusySnake est un autre trait caractéristique. Kaspersky note qu'Armored Likho livre des modules "adaptés au profil de la victime." Cela signifie que la charge déployée sur un poste d'agence gouvernementale peut différer de celle déployée sur un terminal du secteur électrique, selon les données que l'attaquant cherche à extraire. Cette adaptation dynamique complique la détection par comparaison de signatures, car le même acteur peut déployer plusieurs variantes du même outil avec des empreintes légèrement différentes selon les cibles.
Parallèlement à BusySnake, Armored Likho utilise un outil appelé Go2Tunnel pour établir des tunnels SSH inverses vers ses serveurs de commande et contrôle, en utilisant une clé privée codée en dur. Les tunnels SSH inverses sont une technique classique pour maintenir un accès persistant à travers des réseaux qui bloquent les connexions entrantes : le client infecté initie la connexion vers l'extérieur (généralement autorisée par les règles de pare-feu), et le tunnel permet à l'attaquant d'envoyer des commandes et de récupérer des données via cette connexion sortante.
L'utilisation d'une clé privée codée en dur dans l'exécutable simplifie le déploiement du point de vue de l'attaquant : chaque instance de Go2Tunnel peut se connecter directement au serveur de l'attaquant sans nécessiter d'échange de clé ou d'authentification supplémentaire. L'inconvénient est que cette clé peut être extraite de l'exécutable par les analystes, permettant d'identifier d'autres infrastructures utilisant la même clé.
La combinaison de BusySnake pour l'exfiltration de données et de Go2Tunnel pour l'accès persistant décrit un opérateur dont l'objectif n'est pas une compromission rapide suivie d'un déploiement de ransomware, mais une présence prolongée qui lui permet de surveiller les activités de la cible, d'ajuster sa collecte de données, et de décider du moment optimal pour escalader ou extraire.
En parallèle de la chaîne d'infection principale par email et RAR, Armored Likho utilise une chaîne alternative basée sur des fichiers LNK (raccourcis Windows) exploitant la vulnérabilité CVE-2025-9491, également connue sous l'identifiant ZDI-CAN-25373. Cette faille concerne la manière dont Windows traite les fichiers de raccourcis, permettant une exécution de code à distance lorsqu'un fichier LNK est affiché dans l'explorateur Windows, sans nécessiter un double-clic de la part de l'utilisateur.
Microsoft a corrigé cette vulnérabilité dans le cadre du Patch Tuesday de novembre 2025. Des recherches publiées par Trend Micro avaient révélé que de nombreux groupes d'acteurs de la menace avaient exploité cette technique, indiquant qu'elle était connue et utilisée activement avant la publication du correctif. Armored Likho compte parmi les acteurs qui ont intégré cette exploitation dans leurs chaînes d'attaque alternatives, probablement pour cibler des systèmes non encore patchés des organisations qu'ils visent.
Pour les équipes de sécurité qui gèrent des environnements Windows, la présence de CVE-2025-9491 dans l'arsenal d'Armored Likho est un rappel que le délai entre la publication d'un correctif Microsoft et son déploiement complet dans une organisation représente une fenêtre d'exposition active. Les acteurs de la menace suivent les bulletins de sécurité et identifient les organisations susceptibles de ne pas encore avoir patché.
Plusieurs indicateurs permettent de détecter la présence d'Armored Likho sur un réseau. Les connexions SSH sortantes vers des hôtes externes qui ne font pas partie de l'infrastructure légitime de l'organisation sont le signal le plus fiable pour Go2Tunnel. Ces tunnels utilisent le port 22 mais peuvent également utiliser des ports non standard pour contourner les règles de filtrage. Une surveillance des connexions SSH persistantes et récurrentes vers des adresses IP externes inconnues devrait figurer dans les règles d'alerte de tout système de détection réseau.
La création de tâches planifiées par des processus inhabituels, en particulier par des scripts VBScript exécutés depuis des répertoires temporaires ou des chemins utilisateur non standard, est un autre indicateur de la chaîne d'infection d'Armored Likho. Les règles SIGMA pour la détection de tâches planifiées malveillantes sont disponibles publiquement et s'appliquent directement à ce profil d'attaque.
Pour les organisations opérant dans les secteurs gouvernementaux ou énergétiques, le vecteur d'infection initial, un email de phishing usurpant des notifications officielles ou des programmes sociaux, nécessite une attention particulière à la formation des utilisateurs. Les attaquants qui investissent dans la création d'emails contextuellement pertinents pour leur cible réussissent mieux que ceux qui utilisent des leurres génériques. Un programme de simulation de phishing qui inclut des scénarios spécifiques au secteur de l'organisation (avis de conformité réglementaire, notifications de subventions, alertes de sécurité institutionnelle) prépare mieux les équipes à résister à ce type d'approche.
BusySnake n'est pas le premier stealer Python documenté dans les campagnes ciblant les secteurs gouvernementaux et industriels, mais sa découverte confirme une tendance : Python est devenu un langage de choix pour les développeurs de malwares spécialisés qui cherchent à équilibrer capacité, discrétion, et facilité de maintenance. Contrairement aux stealers commerciaux comme RedLine ou Raccoon Stealer qui ciblent le plus large nombre possible de victimes, BusySnake a été conçu pour un opérateur spécifique avec des cibles spécifiques.
Cette personnalisation se reflète dans ses capacités modulaires. La possibilité d'adapter les modules déployés en fonction du profil de la victime, documentée par Kaspersky, nécessite une maintenance active du code et une connaissance préalable de la cible avant le déploiement. Ce niveau d'investissement opérationnel n'est viable que pour des opérations où la valeur des données extraites justifie le coût du développement personnalisé. Les agences gouvernementales gérant des données de politique énergétique et les opérateurs d'infrastructure électrique appartiennent clairement à cette catégorie.
La détection de BusySnake dans un environnement repose en grande partie sur la surveillance comportementale. Un processus Python qui s'exécute en arrière-plan, accède à des répertoires de profil de navigateur (typiquement sous AppData/Local/[Navigateur]/User Data/ sur Windows), lit des bases de données SQLite, et établit des connexions réseau chiffrées vers des hôtes externes est un pattern anormal pour la plupart des environnements d'entreprise. Les règles de détection EDR ciblant ce comportement spécifique, lecture de bases SQLite de navigateur par des processus non-navigateur, sont efficaces contre toute la famille des stealers Python, pas seulement BusySnake.
Le ciblage du secteur électrique par Armored Likho n'est pas une anomalie. Depuis les attaques contre le réseau électrique ukrainien en 2015 et 2016 attribuées à Sandworm, les systèmes de contrôle industriel des réseaux de distribution d'électricité sont devenus une cible documentée pour les acteurs de la menace alignés sur des intérêts étatiques. L'espionnage des infrastructures énergétiques répond à plusieurs objectifs stratégiques : cartographier les vulnérabilités pour une exploitation potentielle en situation de conflit, comprendre les capacités de production et de distribution d'un adversaire, et identifier les points de défaillance critiques qui pourraient être exploités pour créer des perturbations.
Le Brésil et le Kazakhstan figurent tous deux parmi les économies émergentes dont le secteur énergétique a connu une expansion significative. Le Brésil est le plus grand producteur d'énergie d'Amérique latine et possède une infrastructure de production hydroélectrique complexe qui représente un actif stratégique considérable. Le Kazakhstan est un exportateur majeur de pétrole et de gaz avec une infrastructure de transport énergétique cruciale pour les marchés asiatiques et européens. Ces profils économiques font de leurs opérateurs d'infrastructure énergétique des cibles attrayantes pour des acteurs cherchant à comprendre les dépendances et les vulnérabilités du marché de l'énergie mondial.
La présence de la Russie parmi les cibles d'Armored Likho complexifie l'attribution mais n'est pas inexplicable. Les agences gouvernementales russes qui s'occupent de politique énergétique ou de réglementation du secteur électrique peuvent être des cibles pour un acteur cherchant à comprendre les intentions réglementaires ou politiques internes, ou pour un acteur qui opère pour le compte d'intérêts commerciaux plutôt qu'étatiques. La motivation financière documentée d'Armored Likho, en parallèle de ses activités d'espionnage, est cohérente avec un acteur qui vend du renseignement à des clients variés plutôt qu'avec un groupe strictement gouvernemental.
Le cluster Eagle Werewolf, qui partage des caractéristiques opérationnelles avec Armored Likho, est documenté depuis mai 2023 par BI.ZONE. Son historique d'activité sur deux ans fournit un contexte utile pour comprendre l'évolution des tactiques et l'élargissement du profil de ciblage.
Les premières opérations documentées d'Eagle Werewolf ciblaient principalement les organisations gouvernementales et de défense impliquées dans le développement de drones, en Russie et dans les pays post-soviétiques. L'arsenal initial comprenait des droppers Rust, des RATs Go, et des utilitaires SSH. En février 2026, BI.ZONE a documenté une opération plus sophistiquée : la compromission d'un canal Telegram légitime dédié aux opérateurs de drones militaires pour distribuer AquilaRAT. Le dropper Rust utilisé dans cette campagne se présentait comme une checklist d'activation d'appareils Starlink, un leurre hautement contextuel pour l'audience ciblée.
L'utilisation de Telegram comme vecteur de distribution mérite une attention particulière. Telegram est largement utilisé dans les communautés militaires et techniques de la région post-soviétique pour des communications opérationnelles. Un canal compromis avec un historique de publications légitimes a une crédibilité immédiate auprès de ses abonnés existants. Les membres du canal qui reçoivent une publication de ce qui ressemble au compte habituel du canal, proposant un document utile en lien avec leur domaine d'activité, sont beaucoup moins méfiants qu'ils ne le seraient face à un email inconnu. Cette technique de détournement de canaux communautaires existants est difficile à défendre avec des outils techniques : elle cible la confiance relationnelle plutôt que les défenses système.
La caractéristique "hybride" d'Armored Likho, combinant motivation financière et espionnage, présente des défis spécifiques pour les équipes de sécurité. Un acteur purement financièrement motivé suit des patterns prévisibles : il cherche à maximiser la valeur extraite rapidement, ce qui se traduit par un comportement post-compromission relativement bruyant. Un acteur d'espionnage pur cherche à rester invisible le plus longtemps possible, ce qui produit un profil de trafic réseau et d'activité système plus difficile à détecter mais plus cohérent sur la durée.
Un acteur hybride comme Armored Likho peut alterner entre les deux modes selon les cibles. Sur une agence gouvernementale présentant une valeur renseignement élevée, l'acteur adoptera un comportement discret optimisé pour la persistance. Sur une cible présentant une valeur financière immédiate, il peut deployer BusySnake avec moins de discrétion. Cette adaptabilité rend la détection basée sur le comportement plus difficile car le même acteur peut avoir des empreintes très différentes selon le contexte.
La défense efficace contre ce profil d'acteur repose moins sur la détection d'un comportement spécifique que sur la réduction de la valeur de chaque compromission individuelle. Segmenter les réseaux de manière à ce qu'un poste compromis n'ait pas accès à l'ensemble des ressources de l'organisation. Appliquer le principe du moindre privilège aux comptes de service qui gèrent les systèmes de contrôle industriel. Surveiller le trafic sortant des réseaux OT vers les réseaux IT corporatifs, car la frontière entre ces deux environnements est souvent le chemin d'exfiltration des données les plus sensibles dans les organisations du secteur énergétique.
La détection des tunnels SSH Go2Tunnel nécessite une visibilité sur les connexions SSH sortantes depuis des machines qui n'ont pas de raison légitime d'établir des tunnels vers l'externe. Dans un réseau bien segmenté avec une gestion rigoureuse des connexions autorisées, une connexion SSH persistante depuis un poste d'agence vers une adresse IP externe inconnue devrait déclencher une alerte immédiate. La mise en place de cette surveillance est une mesure de durcissement réseau de base qui s'applique à de nombreux vecteurs au-delà d'Armored Likho.
Pour les organisations du secteur énergétique confrontées à cette menace, un exercice de simulation d'attaque ciblé sur le vecteur de phishing documenté, avec des leurres spécifiques au secteur, est l'un des investissements les plus efficaces en matière de sensibilisation. Les équipes qui ont été exposées à des simulations réalistes du type de phishing utilisé par Armored Likho, des notifications gouvernementales crédibles ou des avis administratifs sectoriels, développent une résistance comportementale bien supérieure à ceux qui n'ont vu que des simulations de phishing générique de type "votre compte Amazon est suspendu." La précision contextuelle de l'attaque nécessite une précision contextuelle équivalente dans l'entraînement défensif.
Les campagnes comme PolinRider, Avalon, Armored Likho ou ARToken ont toutes un point commun : elles ciblent les identifiants, les tokens d'authentification et les données d'entreprise avant que les victimes ne s'aperçoivent de la compromission. Defendis surveille en continu les marchés souterrains, les forums criminels et les sites de fuite où ces données apparaissent après une exfiltration. Si des credentials appartenant à votre organisation sont mis en vente ou publiés, vos équipes en sont informées avant que l'attaquant ne les exploite. Comprendre pourquoi la détection précoce change l'issue d'un incident ou demandez une démonstration adaptée à votre contexte.