文章总结: 新型APT组织ArmoredLikho首次大规模利用大模型生成恶意代码,双线攻击政务电力设施与普通用户加密资产。其通过钓鱼邮件投递恶意LNK快捷方式与NSIS包,利用高危漏洞静默部署BusySnake窃密木马与反向隧道。建议政企紧急修补LNK漏洞,严控PowerShell外网下载,监控COM计划任务与特定可疑目录,并阻断反向SSH外联流量以构建有效防御。 综合评分: 88 文章分类: 威胁情报,恶意软件,漏洞分析,应急响应,AI安全
重磅预警|AI批量生成恶意代码!Armored Likho双路线APT来袭,电力、政务系统沦为重点猎物
原创
AI紫队安全研究 AI紫队安全研究
AI紫队安全研究
2026年7月8日 12:00 广东
在小说阅读器读本章
去阅读
大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。
2026年7月,卡巴斯基联合SecurityAffairs披露全新高级威胁组织Armored Likho(代号Eagle Werewolf),该团伙首次大规模使用大模型生成全套攻击载荷,一套工具双线作战:一边针对俄、哈、巴西电力、政府机构长期间谍窃密,一边面向普通用户盗取加密资产。自研BusySnake窃取木马搭配Go2Tunnel反向隧道,利用LNK高危漏洞+Python隐蔽加载,传统杀毒极难拦截,政企基础设施务必紧急自查!
情报来源:SecurityAffairs官方威胁报告,卡巴斯基实验室完整样本溯源分析
一、全新APT团伙:双线攻击,兼顾情报窃取与加密洗钱
团伙两大攻击赛道(罕见双目标模式)
绝大多数黑产/APT只会选择牟利或间谍单一路线,Armored Likho同时布局两条攻击链:
- 国家级定向间谍线(核心目标)
主攻俄罗斯、哈萨克斯坦、巴西政府机关、电网电力基础设施,长期潜伏窃取政务文件、电力调度数据、基建核心图纸,无加密勒索行为,以情报收集为最终目的。
- 黑产牟利支线
面向普通个人、中小企业终端,窃取浏览器密码、OTP验证码、加密货币私钥、远程桌面凭证,批量倒卖或盗取数字资产变现。
核心攻击武器库
-
AI自动生成多级加载器(本次最大突破)
-
BusySnake Python多功能窃取木马(主力载荷)
-
Go2Tunnel反向SSH隧道工具(内网远程控制)
-
混淆模块化RAT远控、NSIS自解压恶意安装包
二、划时代威胁:大模型AI批量生成恶意加载器,溯源难度拉满
AI恶意代码三大标志性特征(一眼识别团伙样本)
安全研究员发现该团伙所有一级加载脚本都带有极强AI生成痕迹,人工编写恶意代码绝不会出现:
-
代码附带大量冗余图文注释、emoji项目符号、分段标记;
-
代码结构重复、逻辑分段模板化,每次攻击样本结构完全不同;
-
无需专业黑客开发,仅通过LLM对话即可快速迭代新载荷。
对防御的致命冲击
-
快速变种:一次钓鱼活动可生成上千份结构各异的恶意脚本,特征库完全跟不上;
-
溯源困难:无固定代码指纹,无法通过传统样本关联团伙;
-
降低门槛:零基础攻击者也能批量产出绕过静态查杀的加载程序。
三、两条入侵链路:LNK漏洞/NSIS安装包,双击即沦陷
团伙设计两套投递载体,全部依托鱼叉钓鱼邮件投放,诱饵贴合政务、民生场景:政府通知、人道救助申请表、线上心理测评问卷。
路径1:恶意LNK快捷方式(高危漏洞ZDI-CAN-25373)
-
压缩包内伪装文档的lnk快捷,利用漏洞隐藏后台执行命令;
-
用户仅双击查看文档,后台自动拉起PowerShell;
-
脚本从官方Python源下载3.12.10嵌入式安装包、pip工具;
-
静默部署至
%APPDATA%\WindowsHelper专属工作目录。
路径2:NSIS自解压恶意安装程序
-
打开弹出虚假心理测评页面迷惑用户;
-
后台注入加载器至系统可信进程内存;
-
从GitHub开发仓库拉取全套木马组件落地同一目录。
两条链路最终落地路径完全统一,所有恶意程序集中存放WindowsHelper文件夹,便于统一管理。
完整Python部署恶意脚本逻辑(攻击核心步骤)
PowerShell绕过系统限制静默下载官方Python,重命名无窗口pythonw.exe运行木马,全程无弹窗、无报错:
-
下载Python 3.12.10离线安装包,静默自定义安装;
-
自动拉取get-pip工具,离线安装依赖环境;
-
释放加密BusySnake窃取器pyc文件;
-
创建计划任务、VBS启动器实现永久驻留。
四、主力木马BusySnake深度拆解:全能窃密+隐蔽隧道
- 高强度加密保护,运行全程解密
采用PyArmor Pro 9.2.0加密Python字节码,函数调用时临时解密,执行完毕立刻重新加密;使用.pyw无窗口后台运行,任务管理器仅显示无标识Python进程。
- 全方位数据窃取能力(覆盖几乎所有凭证)
剪贴板无限循环监控,记录所有复制密码、私钥、OTP链接;
全盘扫描64位十六进制字符串(加密钱包私钥、API密钥)自动回传;
浏览器全量窃取:Chrome/Edge DPAPI解密密码、Firefox密钥库直接读取;
Telegram会话打包、RustDesk远程桌面截图盗取登录凭证;
自动上传桌面、下载文件夹5MB以内全部文档;
全局键盘记录,带时间戳留存完整操作记录。
-
隐蔽持久化,规避常规运维排查
-
五分钟高频循环计划任务,不使用原生schtasks命令,改用COM组件
Schedule.Service创建,行为告警极难捕捉; -
自定义锁文件防止多开,不使用系统互斥体,进程监控工具无法识别;
-
伪装系统目录
WindowsHelper,命名模仿微软官方更新程序。 -
内置Go2Tunnel反向SSH隧道,实现内网全权接管
-
连接域名
grked[.]online获取隧道密钥与连接指令; -
建立持久反向SSH通道,黑客远程交互式操作内网终端;
-
新增沙箱延迟机制,运行前置延时,避开自动化动态分析;
-
任务分级管理:SCHEDULED/IN_PROGRESS/SUCCEEDED/FAILED四状态上报C2。
-
C2通信基础设施
指令服务器IP:159.198.41.140
隧道中转IP:159.198.32.222
核心配置域名:grked[.]online
五、高风险单位&高危行为自查清单
重点受害行业
-
各地政务机关、外事单位;
-
电网、电力调度、能源基础设施企业;
-
外贸、跨境机构、个人加密货币投资者;
-
科研院所、持有大量涉密文档办公终端。
企业高危漏洞行为
-
未修复ZDI-CAN-25373 LNK高危快捷漏洞;
-
终端无EDR,仅依靠免费杀毒,无法监控COM创建计划任务;
-
允许PowerShell无限制外网下载运行Python安装包;
-
员工随意打开邮件内lnk快捷、不明自解压程序;
-
内网无分段,办公终端可直连电力、政务核心服务器;
-
未监控对外SSH反向隧道外联流量。
六、分层落地防御方案(政企运维专用)
一、员工基础防线:切断钓鱼入口
-
陌生邮件压缩包、带lnk快捷附件一律不打开,政府通知、救助文件线下核验;
-
系统开启完整文件扩展名显示,区分文档与恶意快捷;
-
禁止随意运行外部NSIS自解压安装程序;
-
收到心理测评、线上问卷类邮件提高警惕,全部走沙箱检测。
二、终端安全加固(拦截BusySnake核心手段)
-
及时更新Windows全量补丁,修复ZDI-CAN-25373 LNK漏洞;
-
EDR添加监控规则:拦截COM组件创建高频五分钟计划任务;
-
告警监控
%APPDATA%\WindowsHelper可疑目录,出现立即隔离; -
限制PowerShell外联下载Python、pip等开发工具;
-
监控无窗口
pythonw.exe后台长期驻留、批量读取浏览器密钥库行为; -
屏蔽木马C2、隧道中转IP与域名黑名单。
三、网络边界防护
-
出口防火墙阻断反向SSH隧道外联行为;
-
审计终端访问GitHub、境外Python源大量下载流量;
-
留存全量网络日志,重点排查长期后台加密上传行为;
-
电力、政务内网与互联网严格物理/逻辑隔离。
四、疑似中毒应急处置步骤
-
立即断开内外网,禁止重启保留内存取证;
-
删除
WindowsHelper完整目录,清理相关Python程序; -
检索并清除COM创建的五分钟循环计划任务;
-
全盘修改浏览器、系统、远程桌面、加密钱包密码,开启二次验证;
-
全网批量扫描同源Python窃取木马,排查横向扩散;
-
导出进程、网络日志留存,同步上报安全管理部门。
七、行业安全趋势总结
Armored Likho攻击标志AI生成恶意代码APT正式规模化落地。过去黑客手动编写的木马存在固定特征,如今依靠大模型快速生成海量变种,传统基于样本、代码特征的防护体系全面失效。
电力、政务等关键基础设施作为首要攻击目标,不能仅依靠杀毒软件,必须结合行为监控、漏洞修复、流量审计、员工钓鱼培训构建多层防御。随着LLM普及,后续会出现更多AI赋能APT攻击,政企安全体系需同步升级行为检测能力。
你们单位是否管控PowerShell外网下载权限?遇到过伪装政务通知的钓鱼邮件吗?评论区交流运维防护经验!
加入知识星球,可获取权益
一、”全球高级持续威胁:网络世界的隐形战争”,总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。
二、为什么加入?
职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?
三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」
✅ 职业发展「精准导航」
1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;
晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;
技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。
✅ 安全方案「对症开方」
实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);
架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。
✅ 圈子资源「直接对接」
大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);
四、适合谁?
想突破职业天花板的安全工程师/架构师;
需快速落地安全项目的企业负责人;
关注行业动态的安全爱好者或IT从业人员。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《重磅预警|AI批量生成恶意代码!Armored Likho双路线APT来袭,电力、政务系统沦为重点猎物》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。




![Miko-专注力机制AI安全测试Agent[开源]](/images/random/titlepic/9.jpg)





评论