Siber güvenlik kuruluşu Kaspersky, daha önce dökümante edilmemiş "Armored Likho" adlı bir tehdit aktörünün Rusya, Brezilya ve Kazakistan genelindeki devlet kurumlarını ve elektrik enerjisi sektörünü hedef alan siber saldırılarını açığa çıkardı. Grubun, dinamik analiz mekanizmalarını atlatmak için özel olarak tasarlanmış, gizlenmiş ve modüler uzaktan erişim truva atları (RAT) ile veri hırsızlığı yazılımları kullandığı belirlendi.
Saldırıların başlangıç noktasını, resmi devlet bildirimlerini veya sosyal programları taklit eden oltalama (spear-phishing) e-postaları oluşturuyor. Bu e-postalar aracılığıyla sisteme sızdırılan RAR arşivleri, GitHub üzerinden zararlı yükleri çeken ve iz bırakmamak için kendini silen başlangıç dosyalarını tetikliyor. Alternatif saldırı senaryolarında ise Windows'un kısayol dosyalarını işleme açığından (CVE-2025-9491) yararlanılarak gizli PowerShell komutları üzerinden sistemde uzak kod çalıştırılıyor.
Siber casusluk operasyonlarında kullanılan ve ilk kez raporlanan Python tabanlı BusySnake Stealer, analiz araçlarından kaçmak için bayt kodunu yalnızca bir fonksiyon çağrıldığı anda dinamik olarak çözüyor ve işlem biter bitmez veriyi yeniden şifreliyor. Komut ve kontrol (C2) sunucusuyla bağlantı kuran yazılım; sistem panosundaki verileri çalma, dosya meta verilerini kaydetme, ekran görüntüleri alma ve kullanıcı belgelerini harici sunuculara yükleme gibi otonom kabiliyetlere sahip.
Eagle Werewolf bağlantısı ve altyapı dönüşümü
Araştırmalar, Armored Likho'nun Mayıs 2023'ten bu yana aktif olan ve özellikle İHA/SİHA üretimi yapan savunma sanayii kuruluşlarını hedef alan "Eagle Werewolf" (BI.ZONE adlandırmasıyla) siber tehdit grubuyla ciddi yapısal benzerlikler taşıdığını gösteriyor. Eagle Werewolf'un geçmişte Starlink cihaz aktivasyon kontrol listesi maskesi altında Rust tabanlı kodlar yaydığı ve Telegram kanallarını hackleyerek zararlı yazılım dağıttığı biliniyor.
Uzmanlar, BusySnake'in ilk aşama yükleyicilerinde gereksiz kod blokları ve yinelenen yorum satırlarının bulunması nedeniyle, bu kodların yapay zeka (AI) araçları yardımıyla üretilmiş olabileceğine dikkat çekiyor. Ayrıca geçmişte bağımsız bir araç olarak kullanılan Go2Tunnel adlı ağ tünelleme yazılımının, yeni versiyonlarda doğrudan BusySnake veri hırsızının içerisine yerleşik bir özellik olarak entegre edildiği gözlendi.
Devlet kurumlarının yanı sıra doğrudan elektrik enerjisi şebekelerini ve İHA/SİHA Ar-Ge merkezlerini hedef alan bu operasyonlar, modern siber istihbarat faaliyetlerinin jeopolitik ve askeri sabote kabiliyetlerini artırma amacını taşıyor. Tehdit aktörlerinin resmi devlet duyurularını oltalama unsuru olarak kullanması ve sızma faaliyetlerini sivil Telegram kanalları üzerinden yürütmesi, hibrit savaş döneminde toplumsal güven mekanizmalarının ve dijital haberleşme ağlarının nasıl birer siber cepheye dönüştüğünü gösteriyor.BusySnake yazılımının statik ve dinamik analiz araçlarını (sandbox vb.) baypas etmek amacıyla geliştirdiği "anlık kod çözme ve yeniden şifreleme" (on-the-fly decryption) mimarisi, siber silahların ulaştığı teknik olgunluğu kanıtlıyor. İlk aşama kodların üretiminde yapay zekadan (AI) yararlanılması, saldırganların geliştirme maliyetlerini düşürürken imza tabanlı savunma sistemlerini yanıltacak polimorfik (şekil değiştiren) kod varyasyonlarını ne kadar hızlı üretebildiklerini gösteriyor. Ayrıca RustDesk gibi açık kaynaklı uzak masaüstü araçlarının legal kimliğinin istismar edilerek sosyal mühendislikle kimlik bilgisi hırsızlığı yapılması, uç nokta güvenliğinde (EDR) yeni nesil davranışsal analizlerin zorunluluğunu ortaya koyuyor.
