Sabato 04 Luglio 2026 19:59:03 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Guerra cibernetica e operazioni di stati-nazione

BusySnake e il nuovo volto dello spionaggio a basso rumore

Pubblicato: 03 Luglio 2026 16:06Categoria: Guerra cibernetica e operazioni di stati-nazioneAutore: AGONY

Un cluster appena nominato, collegato a bersagli governativi e del settore energetico, mostra come furto di credenziali, tunneling e persistenza possano essere fusi in un unico flusso di accesso.

Non tutte le intrusioni gravi arrivano con un exploit spettacolare. A volte il pericolo è più silenzioso: un archivio dannoso, uno stealer furtivo e un tunnel che mantiene aperta la porta dopo il primo clic. Questo è il modello ora associato ad Armored Likho, un attore della minaccia in precedenza non documentato, collegato ad attività contro agenzie governative e il settore dell'energia elettrica in Russia, Brasile e Kazakhstan.

L'interesse tecnico non riguarda solo l'elenco dei bersagli. Il toolkit segnalato indica una combinazione pratica di consegna tramite phishing, raccolta di credenziali e accesso nascosto successivo. Per chi difende, questa combinazione conta perché cookie del browser, password e materiale di sessione possono bastare per trasformare una singola compromissione endpoint in un abuso più ampio degli account.

Fatti rapidi

  • Armored Likho viene descritto come un attore della minaccia in precedenza non documentato.
  • L'attività è collegata ad agenzie governative e al settore dell'energia elettrica.
  • Russia, Brasile e Kazakhstan sono citati in relazione alla campagna.
  • BusySnake Stealer è associato al furto di credenziali e cookie del browser.
  • Il tunneling SSH inverso e le attività pianificate fanno parte della tattica riportata.

Cosa suggerisce il tooling

BusySnake viene presentato come qualcosa di più di un semplice infostealer. Nell'analisi tecnica alla base di questo caso, è descritto come un payload basato su Python protetto con PyArmor, progettato per raccogliere dati da Chromium e Firefox, oltre a catturare schermate e battute da tastiera. Questo è importante perché gli artefatti di sessione rubati possono talvolta valere più dei file grezzi: possono consentire a un operatore di tornare in seguito senza far scattare nuovamente evidenti richieste di accesso.

L'uso segnalato del tunneling SSH inverso aggiunge un ulteriore livello. Dal punto di vista difensivo, questo può creare un percorso di accesso alternativo per comando e controllo o per il proxying, soprattutto laddove i controlli perimetrali presumono che il traffico in ingresso sia la preoccupazione principale. La lezione più ampia è che gli stealer moderni cercano sempre più di mantenere vivi i canali di comunicazione, non solo di scaricare le credenziali e sparire.

Un altro dettaglio da monitorare è la persistenza tramite attività pianificate e una denominazione generica in stile Windows. Questo non prova da solo un intento malevolo, ma è uno schema familiare nella telemetria endpoint e uno che i team di sicurezza possono individuare con avvisi ad alto valore. Lo stesso vale per i file EXE e LNK distribuiti in archivi, che restano un vettore comune nelle intrusioni Windows.

Negli ambienti elettrici, il rischio è amplificato dall'architettura. CISA ha da tempo inquadrato il sottosettore elettrico come un ambiente a rischio cyber-fisico, e il DOE funge da agenzia specifica per il settore per l'infrastruttura elettrica. Se la segmentazione IT è debole, le credenziali rubate possono diventare più di un problema informatico e possono favorire movimenti più profondi verso sistemi operativamente sensibili.

Al momento della pubblicazione, le informazioni pubbliche non identificano specifiche organizzazioni vittime né confermano un impatto a valle. Le evidenze disponibili supportano una lettura prudente del rischio, non un'affermazione di compromissione completa.

Conclusione

Armored Likho ricorda che le intrusioni più efficaci sono spesso costruite con componenti familiari: phishing, infostealing, persistenza e accesso nascosto. La novità sta meno in un singolo trucco che nel modo in cui questi trucchi vengono confezionati insieme. Per i difensori, questo significa che la risposta non è solo bloccare il malware, ma osservare i segnali più piccoli che mostrano che un attaccante sta cercando di trasformare un singolo endpoint in un punto d'appoggio duraturo.

TECHCROOK

Chiave di sicurezza hardware: Una chiave di sicurezza fisica può aggiungere un forte secondo fattore per gli accessi, soprattutto per gli account esposti al phishing e al furto di sessione. È un'opzione pratica per email, cloud e account amministrativi, dove le sole password rubate non dovrebbero bastare.

Scheda Techcrook: Chiave di sicurezza hardware

WIKICROOK

  • Infostealer: Malware progettato per raccogliere credenziali, cookie, token e altri dati sensibili da un dispositivo infetto.
  • Tunnel SSH inverso: Una connessione che consente a un operatore remoto di rientrare attraverso un sistema vittima usando il traffico SSH in uscita.
  • Persistenza: Metodi che aiutano il malware a rimanere attivo dopo il riavvio, spesso tramite attività pianificate o voci di avvio.
  • Phishing: Una tecnica ingannevole che induce gli utenti ad aprire file dannosi, link o richieste di accesso.
  • Cookie di sessione: Un token del browser che può mantenere un utente connesso e può essere utile per l'abuso di account se rubato.