3 de julho de 2026. A Kaspersky publica na Securelist o relatório sobre o Armored Likho, um APT inédito. O setor elétrico brasileiro aparece na lista de alvos confirmados, ao lado de Rússia e Cazaquistão. Nenhum apagão. Nenhuma sabotagem. Nenhuma nota oficial do ONS, ANEEL ou CERT.br. Nós lemos o relatório e o sinal é claro: o atacante veio mapear, não destruir — e isso é o que torna a operação perigosa.
O APT que mapeia em silêncio
Segundo a Kaspersky, o Armored Likho é um APT inédito cujo objetivo não é sabotagem, mas espionagem de longo prazo. O setor elétrico brasileiro figura na lista de alvos confirmados ao lado de Rússia e Cazaquistão. Não houve apagão. Não houve sabotagem. Não houve nota oficial do ONS, da ANEEL ou do CERT.br.
A ausência de impacto é o que distingue esta operação. O atacante não busca interromper o fornecimento de energia — busca entender a rede, mapear credenciais, estabelecer acesso persistente e esperar. A barreira entre mapeamento e sabotagem é a camada IT que envolve e isola a rede OT. Enquanto essa barreira existir, mapeamento não vira apagão. Mas quem mapeia hoje pode sabotar amanhã.
BusySnake Stealer: Python 3.12, PyArmor Pro e execução in-memory
Segundo a Kaspersky, o BusySnake Stealer é escrito em Python 3.12 e protegido por PyArmor Pro 9.2.0. Uma variante nova executa scripts in-memory sem tocar disco — técnica que evita detecção por ferramentas baseadas em assinatura de arquivo. O stealer rouba credenciais, sessões, carteiras cripto e segredos 2FA. Reverse SSH tunneling embutido mantém o canal de comunicação com a infraestrutura do atacante.
A persistência é o detalhe que revela maturidade. Segundo o relatório, a variante original criava scheduled task a cada 5 minutos via schtasks.exe. A variante nova cria tarefas via COM — uma técnica que evita a execução de binários conhecidos e dificulta a detecção por EDRs que monitoram processos filhos. Espionagem pura, acesso de longo prazo. O atacante não quer derrubar a rede — quer permanecer nela.
O detalhe que muda a leitura: código gerado por LLM
Segundo a Kaspersky, os loaders de primeiro estágio do Armored Likho apresentam padrões de código gerado por LLM: comentários verbosos, emojis no lugar de bullets e estrutura de código atípica. É o que a Kaspersky descreve como o primeiro caso documentado de um APT usando IA generativa contra infraestrutura crítica.
A leitura que importa não é técnica — é estratégica. A barreira de skill para atacar o setor elétrico colapsou. Antes, montar um APT contra infraestrutura crítica exigia equipe, tempo e conhecimento especializado. Agora, um operador com acesso a um LLM consegue gerar loaders funcionais, evasão e persistência. O custo de ataque caiu. O número de atacantes potenciais subiu. O setor elétrico brasileiro está na lista — e a lista tende a crescer.
O vetor: spear-phishing antes de engenharia de rede
Segundo a Kaspersky, o vetor de entrada é spear-phishing com ZIP e RAR anexados. As iscas variam: avisos governamentais, pedidos de ajuda humanitária, testes psicológicos. Dois caminhos a partir daí: um dropper NSIS que baixa Python 3.12 do GitHub, ou um arquivo LNK explorando CVE-2025-9491 — uma vulnerabilidade de ocultação de parâmetros mitigada pela Microsoft em novembro de 2025.
O atacante entra pela engenharia social antes de entrar pela engenharia da rede. Nenhum zero-day em protocolo OT. Nenhum exploit em SCADA. O caminho é o humano — o operador que abre o anexo, o analista que clica no aviso governamental falso. A defesa começa onde o ataque começa: no endpoint, no email, no comportamento.
Setor elétrico como alvo de APT é recorrente
O setor elétrico como alvo de APT não é novidade. Ucrânia 2015: Sandworm deixou 225 mil pessoas sem energia. Industroyer 2016: primeiro malware modular projetado para grid. Triton 2017: primeiro ataque documentado contra Safety Instrumented System. Volt Typhoon 2024: pre-positioning em infraestrutura crítica dos EUA. No Brasil, Copel (DarkSide) e Eletronuclear em 2021 — redes OT intactas, sem atribuição a Estado-nação. Confiança média.
O padrão é claro: mapeamento precede sabotagem. Quem entende a rede hoje pode interrompê-la amanhã. O Armored Likho está na fase de entendimento. A janela de defesa é agora — enquanto o atacante mapeia, não quando ele decide agir.
A defesa exige detectar silêncio
A defesa contra um APT que mapeia em silêncio exige detectar o que não faz barulho. EDR com threat hunting identifica persistência e túneis SSH antes que virem acesso prolongado. SOC 24/7 encurta dwell time — APTs operam em madrugada, quando a equipe de plantão é mínima. Zero Trust quebra a confiança implícita que o atacante explora. IAM com menor privilégio limita blast radius se o atacante conseguir entrar. Red Team simula o kill chain do atacante: spear-phishing, dropper, persistência, tunneling, espionagem.
A Elite DeepTech da Tech86 traz Hard Tech e Hard Law. A camada IT que envolve e isola a rede OT separa mapeamento de sabotagem. Nós ajudamos empresas do setor elétrico a detectar o silêncio antes que ele vire apagão.
Conclusão: a ausência de impacto é a presença de intenção
Nós repetimos: a ausência de impacto é a presença de intenção. Quem mapeia, espera. O Armored Likho não causou apagão — e é exatamente por isso que ele é perigoso. O atacante está dentro, mapeando, coletando, persistindo. A janela de defesa é o intervalo entre o mapeamento e a decisão de agir. Se a defesa esperar pelo apagão, já é tarde demais.
Na Tech86, nós ajudamos empresas de infraestrutura crítica a detectar o silêncio — antes que ele vire barulho.