Pular para o conteúdo principal
Fechar
Segurança

Armored Likho: APT inédito mapeia o setor elétrico brasileiro com IA generativa

Gabriel Ferraresi· CEO | Tech8613 de julho de 20265 min
segurancaaptsetor-eletricoarmored-likhobusysnakethreat-huntingllminfraestrutura-critica

3 de julho de 2026. A Kaspersky publica na Securelist o relatório sobre o Armored Likho, um APT inédito. O setor elétrico brasileiro aparece na lista de alvos confirmados, ao lado de Rússia e Cazaquistão. Nenhum apagão. Nenhuma sabotagem. Nenhuma nota oficial do ONS, ANEEL ou CERT.br. Nós lemos o relatório e o sinal é claro: o atacante veio mapear, não destruir — e isso é o que torna a operação perigosa.

O APT que mapeia em silêncio

Segundo a Kaspersky, o Armored Likho é um APT inédito cujo objetivo não é sabotagem, mas espionagem de longo prazo. O setor elétrico brasileiro figura na lista de alvos confirmados ao lado de Rússia e Cazaquistão. Não houve apagão. Não houve sabotagem. Não houve nota oficial do ONS, da ANEEL ou do CERT.br.

A ausência de impacto é o que distingue esta operação. O atacante não busca interromper o fornecimento de energia — busca entender a rede, mapear credenciais, estabelecer acesso persistente e esperar. A barreira entre mapeamento e sabotagem é a camada IT que envolve e isola a rede OT. Enquanto essa barreira existir, mapeamento não vira apagão. Mas quem mapeia hoje pode sabotar amanhã.

BusySnake Stealer: Python 3.12, PyArmor Pro e execução in-memory

Segundo a Kaspersky, o BusySnake Stealer é escrito em Python 3.12 e protegido por PyArmor Pro 9.2.0. Uma variante nova executa scripts in-memory sem tocar disco — técnica que evita detecção por ferramentas baseadas em assinatura de arquivo. O stealer rouba credenciais, sessões, carteiras cripto e segredos 2FA. Reverse SSH tunneling embutido mantém o canal de comunicação com a infraestrutura do atacante.

A persistência é o detalhe que revela maturidade. Segundo o relatório, a variante original criava scheduled task a cada 5 minutos via schtasks.exe. A variante nova cria tarefas via COM — uma técnica que evita a execução de binários conhecidos e dificulta a detecção por EDRs que monitoram processos filhos. Espionagem pura, acesso de longo prazo. O atacante não quer derrubar a rede — quer permanecer nela.

O detalhe que muda a leitura: código gerado por LLM

Segundo a Kaspersky, os loaders de primeiro estágio do Armored Likho apresentam padrões de código gerado por LLM: comentários verbosos, emojis no lugar de bullets e estrutura de código atípica. É o que a Kaspersky descreve como o primeiro caso documentado de um APT usando IA generativa contra infraestrutura crítica.

A leitura que importa não é técnica — é estratégica. A barreira de skill para atacar o setor elétrico colapsou. Antes, montar um APT contra infraestrutura crítica exigia equipe, tempo e conhecimento especializado. Agora, um operador com acesso a um LLM consegue gerar loaders funcionais, evasão e persistência. O custo de ataque caiu. O número de atacantes potenciais subiu. O setor elétrico brasileiro está na lista — e a lista tende a crescer.

O vetor: spear-phishing antes de engenharia de rede

Segundo a Kaspersky, o vetor de entrada é spear-phishing com ZIP e RAR anexados. As iscas variam: avisos governamentais, pedidos de ajuda humanitária, testes psicológicos. Dois caminhos a partir daí: um dropper NSIS que baixa Python 3.12 do GitHub, ou um arquivo LNK explorando CVE-2025-9491 — uma vulnerabilidade de ocultação de parâmetros mitigada pela Microsoft em novembro de 2025.

O atacante entra pela engenharia social antes de entrar pela engenharia da rede. Nenhum zero-day em protocolo OT. Nenhum exploit em SCADA. O caminho é o humano — o operador que abre o anexo, o analista que clica no aviso governamental falso. A defesa começa onde o ataque começa: no endpoint, no email, no comportamento.

Setor elétrico como alvo de APT é recorrente

O setor elétrico como alvo de APT não é novidade. Ucrânia 2015: Sandworm deixou 225 mil pessoas sem energia. Industroyer 2016: primeiro malware modular projetado para grid. Triton 2017: primeiro ataque documentado contra Safety Instrumented System. Volt Typhoon 2024: pre-positioning em infraestrutura crítica dos EUA. No Brasil, Copel (DarkSide) e Eletronuclear em 2021 — redes OT intactas, sem atribuição a Estado-nação. Confiança média.

O padrão é claro: mapeamento precede sabotagem. Quem entende a rede hoje pode interrompê-la amanhã. O Armored Likho está na fase de entendimento. A janela de defesa é agora — enquanto o atacante mapeia, não quando ele decide agir.

A defesa exige detectar silêncio

A defesa contra um APT que mapeia em silêncio exige detectar o que não faz barulho. EDR com threat hunting identifica persistência e túneis SSH antes que virem acesso prolongado. SOC 24/7 encurta dwell time — APTs operam em madrugada, quando a equipe de plantão é mínima. Zero Trust quebra a confiança implícita que o atacante explora. IAM com menor privilégio limita blast radius se o atacante conseguir entrar. Red Team simula o kill chain do atacante: spear-phishing, dropper, persistência, tunneling, espionagem.

A Elite DeepTech da Tech86 traz Hard Tech e Hard Law. A camada IT que envolve e isola a rede OT separa mapeamento de sabotagem. Nós ajudamos empresas do setor elétrico a detectar o silêncio antes que ele vire apagão.

Conclusão: a ausência de impacto é a presença de intenção

Nós repetimos: a ausência de impacto é a presença de intenção. Quem mapeia, espera. O Armored Likho não causou apagão — e é exatamente por isso que ele é perigoso. O atacante está dentro, mapeando, coletando, persistindo. A janela de defesa é o intervalo entre o mapeamento e a decisão de agir. Se a defesa esperar pelo apagão, já é tarde demais.

Na Tech86, nós ajudamos empresas de infraestrutura crítica a detectar o silêncio — antes que ele vire barulho.

Precisa de orientação especializada?

Agende uma consultoria com nossos especialistas.

Defesa de Infraestrutura Crítica e Threat Hunting

Perguntas Frequentes

Segundo a Kaspersky, o Armored Likho é um APT inédito descrito em relatório publicado na Securelist em 3 de julho de 2026. O setor elétrico brasileiro figura na lista de alvos confirmados ao lado de Rússia e Cazaquistão. Não houve apagão, sabotagem ou nota oficial do ONS, ANEEL ou CERT.br. O objetivo do atacante é mapear — espionagem de longo prazo, não destruição imediata.

Segundo a Kaspersky, os loaders de primeiro estágio apresentam padrões de código gerado por LLM: comentários verbosos, emojis no lugar de bullets e estrutura de código atípica. É o que a Kaspersky descreve como o primeiro caso documentado de um APT usando IA generativa contra infraestrutura crítica. A barreira de skill para atacar o setor elétrico colapsou — um operador com acesso a um LLM consegue gerar loaders funcionais.

Segundo a Kaspersky, o BusySnake Stealer é escrito em Python 3.12 com PyArmor Pro 9.2.0. Uma variante nova executa scripts in-memory sem tocar disco. Rouba credenciais, sessões, carteiras cripto e segredos 2FA. A persistência usa scheduled task a cada 5 minutos — a variante nova cria tarefas via COM em vez de schtasks.exe, evitando detecção por EDRs que monitoram processos filhos. Reverse SSH tunneling embutido mantém o canal com o atacante.

A ausência de impacto é a presença de intenção. Quem mapeia, espera. O Armored Likho não causou apagão — e é exatamente por isso que ele é perigoso. O atacante está dentro, mapeando credenciais, sessões e topologia de rede. A janela de defesa é o intervalo entre o mapeamento e a decisão de agir. Setor elétrico como alvo de APT é recorrente: Ucrânia 2015 (Sandworm), Industroyer 2016, Triton 2017, Volt Typhoon 2024. Mapeamento precede sabotagem.

A defesa exige detectar silêncio. EDR com threat hunting identifica persistência e túneis SSH antes que virem acesso prolongado. SOC 24/7 encurta dwell time — APTs operam em madrugada. Zero Trust quebra a confiança implícita. IAM com menor privilégio limita blast radius. A camada IT que envolve e isola a rede OT separa mapeamento de sabotagem. Red Team simula o kill chain do atacante. A Elite DeepTech da Tech86 traz Hard Tech e Hard Law para defender infraestrutura crítica.

Blog — Fale Conosco

Tem alguma pergunta sobre nossos artigos ou serviços? Nossa equipe está pronta para ajudar.

Agendar Reunião

Reserve um horário.

Agendar Agora

E-mail

Envie uma mensagem.

[email protected]

WhatsApp

Conversa rápida.

Endereço

Avenida Paulista, 1636 - São Paulo - SP - 01310-200

Especialista Tech86

Online agora

Olá! Como podemos ajudar a escalar seu negócio hoje?

Tech86 Engineering

Nós valorizamos sua privacidade

Utilizamos cookies e tecnologias similares para otimizar a sua experiência, analisar o tráfego do site e personalizar conteúdo. Ao clicar "Aceitar Todos", você concorda com o uso de todos os cookies. Leia nossa Política de Privacidade.