BusySnake StealerArmored Likhospear phishinginfostealer

BusySnake Stealer: atak na administrację i energetykę

2026-07-11

Armored Likho używa spear phishingu, plików EXE i LNK oraz BusySnake Stealer do kradzieży haseł, sesji i dokumentów. Jak powinna reagować firma.

BusySnake Stealer: atak na administrację i energetykę

TL;DR

BusySnake Stealer to nowe złośliwe oprogramowanie opisane przez Kaspersky 3 lipca 2026 roku. Grupa śledzona jako Armored Likho dostarczała je przez celowane wiadomości z archiwami ZIP lub RAR. W środku znajdował się plik EXE albo skrót LNK podszywający się pod dokument związany z pracą, pomocą społeczną lub urzędową procedurą.

Po uruchomieniu pliku użytkownik mógł zobaczyć ankietę albo zwykły dokument. W tle instalowany był jednak infostealer zdolny do kradzieży haseł z przeglądarek, cookies, danych sesji, dokumentów, zrzutów ekranu, informacji ze schowka i sekretów jednorazowych kodów. BusySnake potrafi też utworzyć odwrotny tunel SSH, który daje operatorowi zdalny dostęp do przejętego komputera.

Kaspersky potwierdził ofiary w Rosji, Kazachstanie i Brazylii, głównie w administracji publicznej oraz sektorze elektroenergetycznym. Raport nie potwierdza ofiar w Polsce. Dla polskich organizacji znaczenie ma jednak sam mechanizm: wiadomość odpowiada codziennej pracy, archiwum ukrywa nietypowy plik, a prawidłowo wyglądający dokument odwraca uwagę od działań wykonywanych w tle.

Czym są Armored Likho i BusySnake Stealer

Armored Likho to nazwa nadana przez Kaspersky grupie prowadzącej operacje finansowe przeciw osobom prywatnym oraz działania szpiegowskie przeciw organizacjom. Badacze z umiarkowaną pewnością powiązali tę aktywność z klastrem Eagle Werewolf, wcześniej opisanym przez BI.ZONE. Nie oznacza to potwierdzonego przypisania grupy do konkretnego państwa.

BI.ZONE wskazywało, że Eagle Werewolf działa co najmniej od maja 2023 roku. Grupa atakowała instytucje państwowe, firmy przemysłowe oraz osoby związane z produkcją i projektowaniem dronów. W lutym 2026 roku miała wykorzystać przejęty kanał Telegram do dystrybucji malware podszywającego się pod proces aktywacji urządzeń Starlink.

BusySnake jest kolejnym etapem rozwoju tego zestawu narzędzi. To modułowy infostealer dla Windows napisany w Pythonie. Nie ogranicza się do jednorazowej kradzieży pliku lub hasła. Odbiera zadania z serwera dowodzenia, pobiera dodatkowe funkcje i może utrzymywać interaktywny dostęp do urządzenia.

Dla czytelnika ważniejszy od nazwy grupy jest model ataku. Wiadomość ma skłonić pracownika do samodzielnego uruchomienia pliku. Potem zainfekowana stacja robocza staje się źródłem poświadczeń, sesji, dokumentów i dostępu do kolejnych systemów.

Jak zaczyna się atak BusySnake

Punktem wejścia był spear phishing, czyli wiadomość przygotowana pod konkretną organizację lub grupę odbiorców. Przynęty dotyczyły między innymi oficjalnych komunikatów, testu psychologicznego, pomocy humanitarnej i dokumentów związanych z zadłużeniem.

Takie tematy działają, ponieważ nie wyglądają jak przypadkowa reklama. Mogą pasować do obowiązków pracownika urzędu, działu obsługi, kadr, kancelarii, biura projektu albo jednostki realizującej program pomocowy. Odbiorca ma zawodowy powód, aby sprawdzić zawartość.

Wiadomość zawierała archiwum. Sam format ZIP lub RAR nie jest złośliwy, lecz utrudnia szybkie rozpoznanie zawartości i pozwala umieścić w jednej paczce plik wykonawczy, skrót oraz dokument-przynętę. Kluczowy moment decyzji następował po rozpakowaniu: użytkownik uruchamiał plik, który tylko wyglądał jak właściwy dokument lub aplikacja.

Ten wzorzec warto zestawić z materiałem co to jest phishing. Skuteczność nie wynika wyłącznie z błędu technicznego. Atak łączy wiarygodny kontekst, właściwy moment oraz działanie wykonane przez odbiorcę.

Dwie ścieżki infekcji, ten sam cel

Kaspersky opisał dwa główne warianty dostarczenia BusySnake. W obu użytkownik otrzymuje archiwum i uruchamia zawarty w nim plik. Dalej łańcuch różni się technicznie, ale kończy się instalacją tego samego rodzaju narzędzia.

Archiwum z plikiem EXE

W pierwszym wariancie archiwum zawierało plik wykonywalny zbudowany jako samorozpakowujący instalator NSIS. Po otwarciu pojawiała się fałszywa ankieta psychologiczna. Taki ekran miał potwierdzić odbiorcy, że uruchomił oczekiwany materiał.

W tle dropper uruchamiał legalny proces i wprowadzał do jego pamięci złośliwy loader. Następnie pobierał z repozytoriów GitHub kolejne archiwa: właściwy moduł BusySnake, interpreter Python 3.12 oraz potrzebne zależności. Pliki trafiały do katalogu WindowsHelper w profilu użytkownika.

Kolejne skrypty VBS usuwały pierwszy loader i uruchamiały module.pyw. Harmonogram zadań systemu Windows wykonywał payload ponownie co pięć minut. Dla użytkownika ankieta mogła wyglądać normalnie, mimo że urządzenie zostało już przygotowane do stałej komunikacji z infrastrukturą atakujących.

Archiwum ze skrótem LNK

Drugi wariant wykorzystywał skrót systemu Windows. Plik LNK uruchamiał zaciemnione polecenie i prowadził do pobrania loadera przez PowerShell. Jednocześnie otwierany był dokument-przynęta związany na przykład z pomocą humanitarną albo rozliczeniem zadłużenia.

W kampanii wykorzystano CVE-2025-9491, znaną wcześniej jako ZDI-CAN-25373. Problem dotyczył sposobu prezentowania poleceń zapisanych w plikach LNK. Odpowiednio przygotowany skrót mógł ukryć niebezpieczne parametry przed osobą sprawdzającą jego właściwości.

Aktualizacja Windows jest potrzebna, ale nie zamyka całego scenariusza. Wariant EXE nie zależał od tej podatności. Organizacja, która ograniczy obronę do poprawki dla jednego CVE, nadal pozostawia otwartą drogę przez archiwa, socjotechnikę i uruchamianie programów z katalogów użytkownika.

Podobną rolę skrótu i dokumentu-przynęty opisuje artykuł Operation GriefLure: prawdziwe dokumenty, pliki LNK i RAT. W obu przypadkach pojawienie się poprawnego dokumentu nie potwierdza bezpieczeństwa wcześniejszego pliku.

Co BusySnake może ukraść z komputera

BusySnake otrzymuje zadania z serwera dowodzenia. Jego funkcje obejmują znacznie więcej niż zapisanie kilku haseł z przeglądarki.

Malware może:

  • odczytywać hasła zapisane w przeglądarkach Chromium i Firefox,
  • pobierać cookies oraz dane aktywnych sesji,
  • rejestrować znaki wpisywane z klawiatury,
  • monitorować schowek systemowy,
  • wykonywać i wysyłać zrzuty ekranu,
  • przeszukiwać katalogi Pulpit, Dokumenty i Pobrane,
  • wysyłać dokumenty do serwera operatora,
  • szukać sekretów OTP zapisanych jako adresy otpauth://,
  • zbierać dane sesji Telegrama i pliki portfeli kryptowalut,
  • wykonywać polecenia i dodatkowe skrypty Pythona,
  • tworzyć odwrotny tunel SSH do zdalnego sterowania urządzeniem.

Kradzież cookies i sesji zmienia sposób reakcji na incydent. Sama zmiana hasła może nie wystarczyć, jeśli aktywna sesja nadal działa albo atakujący pozyskał token umożliwiający dostęp bez ponownego logowania. Dlatego urządzenie trzeba traktować jako źródło kompromitacji tożsamości, a nie tylko pojedynczy zainfekowany komputer.

Szerzej ten problem wyjaśnia materiał infostealer zamiast fałszywego logowania. BusySnake jest konkretnym przykładem tego trendu: atakujący nie prosi użytkownika o wpisanie hasła na podstawionej stronie, lecz zabiera dane już zapisane na urządzeniu.

Dlaczego kampania może ominąć proste zabezpieczenia

Łańcuch BusySnake wykorzystuje kilka elementów, które osobno mogą wyglądać zwyczajnie. Archiwum jest popularnym formatem wymiany plików. GitHub jest legalną platformą. Python pojawia się w środowiskach deweloperskich i analitycznych. Harmonogram zadań wykonuje wiele prawidłowych operacji. SSH służy administratorom do zdalnej pracy.

Znaczenie ma dopiero kolejność zdarzeń. Użytkownik otwiera załącznik, proces uruchamia PowerShell lub loader, zewnętrzne repozytorium dostarcza interpreter i payload, a skrypt tworzy nowe zadanie oraz zaczyna odczytywać dane przeglądarki. Pojedyncza kontrola reputacji domeny może tego nie zatrzymać.

BusySnake utrudnia również analizę. Kod Pythona został zabezpieczony przez PyArmor Pro i odszyfrowuje wybrane funkcje dopiero podczas ich wykonania. Nowsza wersja potrafi pobierać skrypty Pythona, instalować potrzebne biblioteki i uruchamiać kod bez zapisywania końcowego skryptu na dysku.

Kaspersky ocenił też, że część loaderów pierwszego etapu powstała z pomocą narzędzi generatywnej AI. Wniosek oparto na cechach kodu, takich jak nadmiarowe komentarze i powtarzające się bloki. Jest to ocena analityczna, a nie bezpośredni dowód użycia konkretnego modelu. Z punktu widzenia obrony ważne jest co innego: operator może szybciej tworzyć warianty o podobnym działaniu, lecz innym wyglądzie pliku.

Schemat ataku BusySnake od wiadomości spear phishingowej przez archiwum EXE lub LNK do kradzieży danych i zdalnego dostępu

Atak zaczyna się od wiarygodnej wiadomości i archiwum, lecz właściwe ryzyko pojawia się po uruchomieniu EXE lub LNK: loader pobiera BusySnake, kradnie dane i może otworzyć zdalny tunel do urządzenia.

Co powinien zauważyć użytkownik

Najlepszym miejscem zatrzymania ataku jest chwila przed uruchomieniem pliku z archiwum. Pracownik nie musi rozpoznawać nazwy BusySnake ani analizować kodu. Powinien natomiast rozumieć, że dokument służbowy nie powinien wymagać uruchomienia programu lub skrótu systemowego.

Sygnałem wymagającym zgłoszenia jest połączenie kilku elementów:

  • niespodziewana wiadomość dotycząca urzędu, świadczenia, pomocy, zadłużenia albo pilnego zadania,
  • archiwum ZIP lub RAR zamiast dokumentu dostępnego w znanym systemie,
  • plik EXE, LNK, VBS, JS lub inny format uruchamialny,
  • prośba o wyłączenie zabezpieczeń, potwierdzenie ostrzeżenia albo ponowne uruchomienie pliku,
  • dokument lub ankieta otwierające się dopiero po uruchomieniu nietypowego programu.

Otwarcie poprawnie wyglądającego dokumentu nie kończy weryfikacji. Może być celowym odwróceniem uwagi. Użytkownik powinien zgłosić wiadomość także wtedy, gdy po kliknięciu „wszystko wygląda normalnie”, lecz wcześniej uruchomił program z archiwum.

W programie security awareness taki scenariusz powinien ćwiczyć decyzję przed uruchomieniem pliku oraz szybkie zgłoszenie. Sama wiedza, że phishing może zawierać błędy językowe, jest tu mało użyteczna. Wiadomość może być poprawna i dopasowana do obowiązków odbiorcy.

Co powinny zrobić IT, Security i SOC

Obrona powinna korelować pocztę, procesy na stacji, ruch sieciowy i zdarzenia tożsamości. BusySnake nie jest problemem wyłącznie bramy e-mail ani wyłącznie antywirusa.

Ograniczenie wejścia przez pocztę i archiwa

Bramy pocztowe powinny rozpakowywać archiwa do analizy i kierować do kwarantanny paczki zawierające EXE, LNK, VBS, JS oraz inne pliki uruchamialne. Wyjątki biznesowe powinny być wąskie, rejestrowane i powiązane z konkretnym procesem.

Warto ograniczyć uruchamianie programów i skryptów z katalogów profilu użytkownika, takich jak Pobrane, Temp i AppData. Można do tego wykorzystać polityki kontroli aplikacji, reguły redukcji powierzchni ataku oraz rozwiązania EDR. Kontrola powinna obejmować także interpreter Python dostarczony wewnątrz paczki, a nie tylko Python zainstalowany przez administratora.

Systemy Windows powinny mieć aktualne poprawki, w tym aktualizacje ograniczające nadużycie CVE-2025-9491. Zespół nie może jednak uznać aktualizacji za pełną ochronę, ponieważ kampania używała także zwykłych plików EXE.

Detekcja zachowania na stacji

SOC powinien szukać całego łańcucha, nie pojedynczej nazwy pliku. Szczególnie istotne są:

  • uruchomienie PowerShell, rundll32.exe, VBS lub interpretera po otwarciu LNK albo pliku z archiwum,
  • pobieranie paczek z GitHub przez proces, który nie jest przeglądarką ani zatwierdzonym narzędziem deweloperskim,
  • pojawienie się interpretera Python, module.pyw lub zależności pip w AppData,
  • katalog o nazwie WindowsHelper w profilu użytkownika,
  • zadanie Harmonogramu o nazwie WindowsHelper lub podobnej do składnika Microsoftu,
  • cykliczne uruchamianie skryptu co kilka minut,
  • dostęp procesu Pythona do baz haseł i cookies przeglądarek,
  • masowe odczyty plików z Pulpitu, Dokumentów i Pobranych,
  • tworzenie zrzutów ekranu i archiwów w katalogu użytkownika,
  • wychodzące połączenia SSH z typowej stacji biurowej, zwłaszcza z parametrem odwrotnego tunelu,
  • uruchamianie nowych skryptów Pythona bez odpowiadającego im pliku na dysku.

Statyczne wskaźniki kompromitacji z raportu Kaspersky również są przydatne, lecz domeny, adresy IP i skróty plików mogą szybko się zmieniać. Reguły behawioralne mają większą szansę wykryć kolejny wariant.

Reakcja na poziomie tożsamości

Po wykryciu BusySnake trzeba założyć możliwość kradzieży danych z przeglądarki. Obejmuje to konta Microsoft 365, Google Workspace, VPN, systemy branżowe, pocztę, komunikatory i aplikacje dostępne przez jednokrotne logowanie.

Zespół powinien:

  • unieważnić aktywne sesje użytkownika,
  • zmienić hasła z zaufanego urządzenia po zabezpieczeniu stacji,
  • sprawdzić nowe metody MFA, tokeny aplikacji i urządzenia zaufane,
  • przejrzeć nietypowe logowania, reguły pocztowe i przekierowania,
  • zrotować klucze SSH, tokeny API i sekrety dostępne z komputera,
  • sprawdzić, czy konto nie pobierało danych lub nie tworzyło nowych integracji.

MFA nadal jest potrzebne, lecz nie powinno być jedynym zabezpieczeniem. W tym scenariuszu znaczenie mają kontrola stanu urządzenia, możliwość centralnego unieważnienia sesji oraz ograniczenie czasu życia tokenów dla kont o podwyższonym ryzyku.

Ograniczenie dostępu do środowisk krytycznych

Raport opisuje ofiary z sektora elektroenergetycznego, ale nie potwierdza, że BusySnake bezpośrednio sterował systemami przemysłowymi. Ryzyko może powstać wcześniej: na stacji biurowej pracownika, administratora, dostawcy lub osoby korzystającej z portali serwisowych.

Dlatego środowisko biurowe, konta uprzywilejowane i sieci operacyjne powinny być rozdzielone. Dostęp administracyjny do systemów krytycznych nie powinien opierać się na sesjach przeglądarki i sekretach przechowywanych na zwykłym laptopie. Odwrotne tunele SSH z sieci użytkowników powinny być blokowane albo co najmniej wyraźnie alarmowane.

Co zrobić, jeśli to już się stało

Jeżeli pracownik uruchomił plik EXE lub LNK z podejrzanego archiwum, zdarzenia nie należy zamykać stwierdzeniem, że „nic się nie pojawiło” albo „otworzył się dokument”. Brak błędu może oznaczać, że przynęta zadziałała zgodnie z planem.

Pierwszym krokiem jest przerwanie pracy i odizolowanie urządzenia zgodnie z procedurą organizacji. Nie należy samodzielnie usuwać katalogów, zadań, historii przeglądarki ani pobranych plików. Te elementy mogą być potrzebne do ustalenia czasu infekcji, zakresu kradzieży i infrastruktury operatora.

Do analizy trzeba zabezpieczyć:

  • oryginalną wiadomość wraz z nagłówkami,
  • archiwum i wszystkie rozpakowane pliki,
  • nazwę i ścieżkę uruchomionego pliku,
  • godzinę otwarcia wiadomości oraz uruchomienia załącznika,
  • informacje o wyświetlonej ankiecie lub dokumencie,
  • logi EDR, PowerShell, Harmonogramu zadań, przeglądarki i ruchu sieciowego,
  • listę kont, sesji, kluczy i systemów dostępnych z urządzenia.

Równolegle zespół powinien unieważnić sesje, zablokować wskaźniki z kampanii i sprawdzić, czy podobna wiadomość trafiła do innych skrzynek. Wyszukiwanie trzeba rozszerzyć na urządzenia, które pobierały ten sam plik, łączyły się z tym samym repozytorium albo utworzyły podobne zadanie.

Jeżeli na komputerze znajdowały się uprawnienia administracyjne, dostęp do VPN, klucze SSH, tokeny chmurowe lub dane systemów sektorowych, zakres incydentu powinien objąć te zasoby. Sama reinstalacja urządzenia nie odpowiada na pytanie, czy atakujący wcześniej wykorzystał skradzione sesje i poświadczenia.

Organizacja powinna uruchomić własną ścieżkę zgłaszania incydentów i ocenić obowiązki wynikające z charakteru zdarzenia oraz jego skutków. Podejrzaną wiadomość lub incydent można również przekazać przez oficjalny formularz CERT Polska.

Co kampania oznacza dla polskiej administracji i operatorów usług

Na 11 lipca 2026 roku publiczny raport Kaspersky wskazywał potwierdzone ofiary w Rosji, Kazachstanie i Brazylii. Brak Polski na tej liście nie uzasadnia komunikatu, że BusySnake prowadzi już kampanię przeciw polskim urzędom lub energetyce.

Istnieje jednak wyraźna lekcja dla polskich organizacji. Przynęta może dotyczyć e-Doręczeń, naboru do programu, świadczenia, wniosku, zadłużenia, zamówienia, dokumentacji przetargowej, zgłoszenia technicznego albo korespondencji z dostawcą. Każdy z tych tematów może naturalnie prowadzić do archiwum i presji, aby otworzyć je szybko.

W administracji publicznej ryzyko rośnie, gdy pracownik obsługuje wiele dokumentów zewnętrznych i nie ma łatwego sposobu potwierdzenia nadawcy. U operatorów usług i infrastruktury problemem są natomiast konta z dostępem do portali serwisowych, systemów utrzymaniowych, VPN oraz dokumentacji technicznej.

Proces powinien więc odpowiadać na trzy pytania:

  1. Czy pracownik potrafi rozpoznać, że dokument nie powinien wymagać uruchomienia EXE lub LNK?
  2. Czy potrafi zgłosić zdarzenie przed samodzielnym sprawdzaniem pliku?
  3. Czy SOC umie połączyć e-mail, uruchomienie procesu, pobranie z GitHub, zadanie cykliczne i zdarzenia tożsamości?

Jak bezpiecznie przećwiczyć ten scenariusz

Kontrolowany test nie powinien dostarczać prawdziwego pliku wykonywalnego ani symulować malware w sposób narażający urządzenia. Można użyć obojętnego archiwum, bezpiecznej strony informacyjnej albo rejestrowanego przycisku, który mierzy moment zgłoszenia i próbę pobrania.

Scenariusz powinien odtwarzać decyzję użytkownika, nie techniczny payload. Wiadomość może dotyczyć dokumentu urzędowego, procedury dostawcy lub pilnego formularza. Wynik testu powinien uwzględniać nie tylko otwarcie wiadomości, lecz także zgłoszenie, czas reakcji i to, czy pracownik próbował uruchomić nietypowy format.

Testy phishingowe dla firm mogą pomóc sprawdzić, czy odbiorcy zatrzymują proces przed uruchomieniem pliku i czy zgłoszenie trafia do właściwego zespołu. Nie zastępują jednak kontroli aplikacji, EDR, segmentacji, zarządzania tożsamością ani procedury reagowania.

Wniosek

BusySnake łączy wiarygodną wiadomość, archiwum z plikiem EXE lub LNK, dokument odwracający uwagę oraz malware kradnący dane z przeglądarki. Później ta sama stacja może stać się punktem zdalnego dostępu przez tunel SSH.

Najbardziej użyteczna zasada dla pracownika brzmi: dokument służbowy nie powinien wymagać uruchomienia programu lub skrótu z archiwum. Dla zespołu bezpieczeństwa zasada jest szersza: po uruchomieniu takiego pliku trzeba badać jednocześnie urządzenie, tożsamość użytkownika, ruch sieciowy i dostęp do systemów uprzywilejowanych.

Jeżeli organizacja chce sprawdzić ten proces w kontrolowanych warunkach albo zbudować scenariusz reakcji dla administracji i operatorów usług, może omówić zakres przez kontakt z PHISHLY.

Najczęstsze pytania

Czym jest BusySnake Stealer?

BusySnake Stealer to opisany przez Kaspersky infostealer napisany w Pythonie dla systemu Windows. Kradnie między innymi hasła z przeglądarek, cookies, dane sesji, dokumenty, zrzuty ekranu i informacje ze schowka, a także może zestawić odwrotny tunel SSH.

Jak BusySnake dostaje się do systemu?

W opisanej kampanii początkiem był spear phishing z archiwum ZIP lub RAR. W środku znajdował się plik wykonywalny EXE albo skrót LNK, który po uruchomieniu pobierał i uruchamiał kolejne elementy ataku.

Czy BusySnake Stealer atakuje organizacje w Polsce?

W raporcie Kaspersky z 3 lipca 2026 roku potwierdzone ofiary znajdowały się w Rosji, Kazachstanie i Brazylii. Nie opublikowano potwierdzenia ofiar w Polsce. Mechanizm pozostaje jednak istotny dla polskiej administracji i operatorów usług, ponieważ wykorzystuje typowe dokumenty służbowe, archiwa i stacje Windows.

Czy MFA chroni przed BusySnake Stealer?

MFA nadal ogranicza część ataków, ale nie rozwiązuje problemu zainfekowanego urządzenia. BusySnake może kraść cookies, aktywne sesje i sekrety OTP, dlatego po incydencie trzeba unieważnić sesje oraz sprawdzić metody uwierzytelniania.

Co zrobić po uruchomieniu podejrzanego pliku EXE lub LNK?

Należy przerwać pracę, odizolować urządzenie zgodnie z procedurą organizacji i natychmiast zgłosić zdarzenie do IT lub Security. Nie należy usuwać plików ani czyścić historii przed zabezpieczeniem materiału do analizy.

Źródła

  1. Armored Likho digging a snake pit: inside the covert BusySnake Stealer campaignŹródło pierwotne Kaspersky opisujące kampanię, wektory EXE i LNK, funkcje BusySnake, ofiary, atrybucję oraz wskaźniki kompromitacji.
  2. Unholy trinity: werewolves target law enforcersŹródło pierwotne BI.ZONE dotyczące klastra Eagle Werewolf, wcześniejszych kampanii, AquilaRAT i Go2Tunnel.
  3. ZDI-25-148: Microsoft Windows LNK File UI Misrepresentation Remote Code Execution VulnerabilityOpis podatności CVE-2025-9491, która pozwalała ukrywać niebezpieczną zawartość polecenia w plikach skrótów LNK.
  4. CVE-2025-9491 DetailInstytucjonalny wpis NVD dotyczący podatności Windows LNK wykorzystywanej w jednym z wariantów kampanii.
  5. Zgłoś incydentOficjalny formularz CERT Polska do zgłaszania incydentów i podejrzanych wiadomości.