大数跨境

重磅预警|AI批量生成恶意代码!Armored Likho双路线APT来袭,电力、政务系统沦为重点猎物

重磅预警|AI批量生成恶意代码!Armored Likho双路线APT来袭,电力、政务系统沦为重点猎物 AI紫队安全研究
2026-07-07
11
导读:大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!

        大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究,然后点击右上角的【...】,然后点击【设为星标】即可

        关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

2026年7月,卡巴斯基联合SecurityAffairs披露全新高级威胁组织Armored Likho(代号Eagle Werewolf),该团伙首次大规模使用大模型生成全套攻击载荷,一套工具双线作战:一边针对俄、哈、巴西电力、政府机构长期间谍窃密,一边面向普通用户盗取加密资产。自研BusySnake窃取木马搭配Go2Tunnel反向隧道,利用LNK高危漏洞+Python隐蔽加载,传统杀毒极难拦截,政企基础设施务必紧急自查!

情报来源:SecurityAffairs官方威胁报告,卡巴斯基实验室完整样本溯源分析


一、全新APT团伙:双线攻击,兼顾情报窃取与加密洗钱

团伙两大攻击赛道(罕见双目标模式)

绝大多数黑产/APT只会选择牟利或间谍单一路线,Armored Likho同时布局两条攻击链:

1. 国家级定向间谍线(核心目标)

主攻俄罗斯、哈萨克斯坦、巴西政府机关、电网电力基础设施,长期潜伏窃取政务文件、电力调度数据、基建核心图纸,无加密勒索行为,以情报收集为最终目的。

2. 黑产牟利支线

面向普通个人、中小企业终端,窃取浏览器密码、OTP验证码、加密货币私钥、远程桌面凭证,批量倒卖或盗取数字资产变现。


核心攻击武器库

1. AI自动生成多级加载器(本次最大突破)

2. BusySnake Python多功能窃取木马(主力载荷)

3. Go2Tunnel反向SSH隧道工具(内网远程控制)

4. 混淆模块化RAT远控、NSIS自解压恶意安装包


二、划时代威胁:大模型AI批量生成恶意加载器,溯源难度拉满

AI恶意代码三大标志性特征(一眼识别团伙样本)

安全研究员发现该团伙所有一级加载脚本都带有极强AI生成痕迹,人工编写恶意代码绝不会出现:

1. 代码附带大量冗余图文注释、emoji项目符号、分段标记;

2. 代码结构重复、逻辑分段模板化,每次攻击样本结构完全不同;

3. 无需专业黑客开发,仅通过LLM对话即可快速迭代新载荷。


对防御的致命冲击

1. 快速变种:一次钓鱼活动可生成上千份结构各异的恶意脚本,特征库完全跟不上;

2. 溯源困难:无固定代码指纹,无法通过传统样本关联团伙;

3. 降低门槛:零基础攻击者也能批量产出绕过静态查杀的加载程序。


三、两条入侵链路:LNK漏洞/NSIS安装包,双击即沦陷

团伙设计两套投递载体,全部依托鱼叉钓鱼邮件投放,诱饵贴合政务、民生场景:政府通知、人道救助申请表、线上心理测评问卷。

路径1:恶意LNK快捷方式(高危漏洞ZDI-CAN-25373)

1. 压缩包内伪装文档的lnk快捷,利用漏洞隐藏后台执行命令;

2. 用户仅双击查看文档,后台自动拉起PowerShell;

3. 脚本从官方Python源下载3.12.10嵌入式安装包、pip工具;

4. 静默部署至`%APPDATA%\WindowsHelper`专属工作目录。


路径2:NSIS自解压恶意安装程序

1. 打开弹出虚假心理测评页面迷惑用户;

2. 后台注入加载器至系统可信进程内存;

3. 从GitHub开发仓库拉取全套木马组件落地同一目录。

两条链路最终落地路径完全统一,所有恶意程序集中存放`WindowsHelper`文件夹,便于统一管理。


完整Python部署恶意脚本逻辑(攻击核心步骤)

PowerShell绕过系统限制静默下载官方Python,重命名无窗口`pythonw.exe`运行木马,全程无弹窗、无报错:

1. 下载Python 3.12.10离线安装包,静默自定义安装;

2. 自动拉取get-pip工具,离线安装依赖环境;

3. 释放加密BusySnake窃取器pyc文件;

4. 创建计划任务、VBS启动器实现永久驻留。


四、主力木马BusySnake深度拆解:全能窃密+隐蔽隧道

1. 高强度加密保护,运行全程解密

采用PyArmor Pro 9.2.0加密Python字节码,函数调用时临时解密,执行完毕立刻重新加密;使用`.pyw`无窗口后台运行,任务管理器仅显示无标识Python进程。


2. 全方位数据窃取能力(覆盖几乎所有凭证)

剪贴板无限循环监控,记录所有复制密码、私钥、OTP链接;

全盘扫描64位十六进制字符串(加密钱包私钥、API密钥)自动回传;

浏览器全量窃取:Chrome/Edge DPAPI解密密码、Firefox密钥库直接读取;

Telegram会话打包、RustDesk远程桌面截图盗取登录凭证;

自动上传桌面、下载文件夹5MB以内全部文档;

全局键盘记录,带时间戳留存完整操作记录。


3. 隐蔽持久化,规避常规运维排查

1. 五分钟高频循环计划任务,不使用原生schtasks命令,改用COM组件`Schedule.Service`创建,行为告警极难捕捉;

2. 自定义锁文件防止多开,不使用系统互斥体,进程监控工具无法识别;

3. 伪装系统目录`WindowsHelper`,命名模仿微软官方更新程序。


4. 内置Go2Tunnel反向SSH隧道,实现内网全权接管

1. 连接域名`grked[.]online`获取隧道密钥与连接指令;

2. 建立持久反向SSH通道,黑客远程交互式操作内网终端;

3. 新增沙箱延迟机制,运行前置延时,避开自动化动态分析;

4. 任务分级管理:SCHEDULED/IN_PROGRESS/SUCCEEDED/FAILED四状态上报C2。


5. C2通信基础设施

指令服务器IP:159.198.41.140

隧道中转IP:159.198.32.222

核心配置域名:grked[.]online


五、高风险单位&高危行为自查清单

重点受害行业

1. 各地政务机关、外事单位;

2. 电网、电力调度、能源基础设施企业;

3. 外贸、跨境机构、个人加密货币投资者;

4. 科研院所、持有大量涉密文档办公终端。


企业高危漏洞行为

1. 未修复ZDI-CAN-25373 LNK高危快捷漏洞;

2. 终端无EDR,仅依靠免费杀毒,无法监控COM创建计划任务;

3. 允许PowerShell无限制外网下载运行Python安装包;

4. 员工随意打开邮件内lnk快捷、不明自解压程序;

5. 内网无分段,办公终端可直连电力、政务核心服务器;

6. 未监控对外SSH反向隧道外联流量。


六、分层落地防御方案(政企运维专用)

一、员工基础防线:切断钓鱼入口

1. 陌生邮件压缩包、带lnk快捷附件一律不打开,政府通知、救助文件线下核验;

2. 系统开启完整文件扩展名显示,区分文档与恶意快捷;

3. 禁止随意运行外部NSIS自解压安装程序;

4. 收到心理测评、线上问卷类邮件提高警惕,全部走沙箱检测。


二、终端安全加固(拦截BusySnake核心手段)

1. 及时更新Windows全量补丁,修复ZDI-CAN-25373 LNK漏洞;

2. EDR添加监控规则:拦截COM组件创建高频五分钟计划任务;

3. 告警监控`%APPDATA%\WindowsHelper`可疑目录,出现立即隔离;

4. 限制PowerShell外联下载Python、pip等开发工具;

5. 监控无窗口`pythonw.exe`后台长期驻留、批量读取浏览器密钥库行为;

6. 屏蔽木马C2、隧道中转IP与域名黑名单。


三、网络边界防护

1. 出口防火墙阻断反向SSH隧道外联行为;

2. 审计终端访问GitHub、境外Python源大量下载流量;

3. 留存全量网络日志,重点排查长期后台加密上传行为;

4. 电力、政务内网与互联网严格物理/逻辑隔离。


四、疑似中毒应急处置步骤

1. 立即断开内外网,禁止重启保留内存取证;

2. 删除`WindowsHelper`完整目录,清理相关Python程序;

3. 检索并清除COM创建的五分钟循环计划任务;

4. 全盘修改浏览器、系统、远程桌面、加密钱包密码,开启二次验证;

5. 全网批量扫描同源Python窃取木马,排查横向扩散;

6. 导出进程、网络日志留存,同步上报安全管理部门。


七、行业安全趋势总结

Armored Likho攻击标志AI生成恶意代码APT正式规模化落地。过去黑客手动编写的木马存在固定特征,如今依靠大模型快速生成海量变种,传统基于样本、代码特征的防护体系全面失效。

电力、政务等关键基础设施作为首要攻击目标,不能仅依靠杀毒软件,必须结合行为监控、漏洞修复、流量审计、员工钓鱼培训构建多层防御。随着LLM普及,后续会出现更多AI赋能APT攻击,政企安全体系需同步升级行为检测能力。


你们单位是否管控PowerShell外网下载权限?遇到过伪装政务通知的钓鱼邮件吗?评论区交流运维防护经验! 

加入知识星球,可获取权益

一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。

二、为什么加入?  

职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?  


三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」 

✅ 职业发展「精准导航」

 1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;  

 晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;

 技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);

 架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);  


四、适合谁?  

 想突破职业天花板的安全工程师/架构师;  

 需快速落地安全项目的企业负责人;  

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。


【声明】内容源于网络
0
0
AI紫队安全研究
在网络攻防演习中,除了攻防双方的红蓝两队之外,作为 “下一代渗透测试” 的紫队相比于传统的红蓝对抗,代表着更具协作性的方法。本公众号致力于从防御视角如何进行更隐秘地攻击,从攻击视角促进国内防守能力水平更好更快地提升。
内容 20
粉丝 0
AI紫队安全研究 在网络攻防演习中,除了攻防双方的红蓝两队之外,作为 “下一代渗透测试” 的紫队相比于传统的红蓝对抗,代表着更具协作性的方法。本公众号致力于从防御视角如何进行更隐秘地攻击,从攻击视角促进国内防守能力水平更好更快地提升。
总阅读92
粉丝0
内容20