Tre nuovi malware russi di COLDRIVER e la loro pericolosa evoluzione

Il gruppo russo di cyberspionaggio COLDRIVER, noto anche nei report di sicurezza come Star Blizzard, ColdRiver, Callisto o UNC4057, ha compiuto un salto di qualità nei suoi metodi di attacco dopo che uno dei suoi principali strumenti, LOSTKEYS, è stato completamente smascherato dai ricercatori di GoogleLungi dal rallentare, il gruppo ha reagito nel giro di pochi giorni con una nuova generazione di malware progettato per mantenere le sue operazioni di spionaggio a piena capacità.

Questo cambiamento di strategia evidenzia la capacità di adattamento e il ritmo accelerato dello sviluppo da COLDRIVER. Le loro vittime preferite continuano a essere giornalisti, organizzazioni per i diritti umani, ONG, governi, consulenti politici e altri profili di alto livello in Europa e negli Stati Uniti, ma ora l'attenzione non è più rivolta solo al furto di credenziali, bensì all'assunzione del controllo diretto dei computer compromessi attraverso una complessa catena di infezioni basata su falsi CAPTCHA e sull'esecuzione di comandi PowerShell.

Tre nuovi malware russi di COLDRIVER: NOROBOT, YESROBOT e MAYBEROBOT

A seguito della pubblicazione dell'analisi tecnica di LOSTKEYS da parte del Google Threat Intelligence Group (GTIG)Gli operatori di COLDRIVER hanno impiegato solo cinque giorni per distribuire tre nuove famiglie di malware: NOROBOT, YESROBOT e MAYBEROBOT. Questi componenti non operano in modo isolato, ma formano una catena di distribuzione interconnessa che sostituisce completamente LOSTKEYS nell'arsenale del gruppo.

Gli analisti di Google hanno descritto questa famiglia di “ROBOT” come un insieme di impianti correlati che cooperano in diverse fasi dell'infezioneNOROBOT agisce come componente iniziale che viene installato sul sistema tramite un file DLL eseguito con rundll32.exe; YESROBOT appare come una backdoor minima in Python utilizzata brevemente come soluzione temporanea; e MAYBEROBOT è consolidato come l'impianto principale in PowerShell, più stabile, furtivo e flessibile, progettato per operazioni di spionaggio prolungate.

COLDRIVER ha smesso di concentrarsi quasi esclusivamente sul phishing delle credenziali Ora stanno optando per malware personalizzati che consentono loro di estrarre documenti, file di sistema e altre informazioni sensibili direttamente dai dispositivi delle vittime. Questo cambiamento aumenta il potenziale impatto di ogni intrusione e ne complica il rilevamento, poiché non è più sufficiente monitorare gli accessi sospetti; ora, anche l'attività anomala di PowerShell, rundll32 e il traffico HTTPS crittografato verso server di comando e controllo (C2) nascosti devono essere monitorati attentamente.

I nuovi strumenti sono stati progettati per essere impiegati in modo selettivo. Contro obiettivi di particolare interesse, spesso identificati in precedenza tramite campagne di phishing o altre forme di ricognizione. L'obiettivo è chiaro: mantenere un accesso prolungato ai loro dispositivi, raccogliere informazioni strategiche ed eludere i sistemi di sicurezza che hanno già imparato a rilevare varianti precedenti come LOSTKEYS.

Catena di infezione basata su esche ClickFix e falsi CAPTCHA

Uno dei cambiamenti più sorprendenti nelle operazioni di COLDRIVER Si tratta del graduale abbandono della classica email di phishing con link o allegati dannosi a favore di una tecnica di ingegneria sociale nota come ClickFix. Questa tecnica si basa su pagine HTML progettate per simulare problemi tecnici o controlli di sicurezza molto familiari all'utente, come il tipico "Non sono un robot".

In queste campagne, la vittima arriva a una pagina che mostra un CAPTCHA falso "Non sono un robot" o una finestra pop-up che sembra essere un controllo di routine. Invece di risolvere un semplice puzzle visivo, all'utente viene chiesto di copiare e incollare un comando nella finestra di dialogo "Esegui" di Windows o in una console di PowerShell, credendo di correggere un errore di verifica. Quel comando è, in realtà, il punto di ingresso per l'attacco.

Google ha soprannominato l'esca HTML iniziale come COLDCOPYQuesto file HTML di ClickFix è responsabile dell'installazione nel sistema di una DLL chiamata NOROBOT, il componente responsabile della fase successiva della catena di infezione. In pratica, alla vittima basta seguire le istruzioni apparentemente innocue del falso CAPTCHA affinché NOROBOT venga installato e sia pronto all'uso.

Nelle fasi precedenti, LOSTKEYS aveva già utilizzato un approccio simile con falsi captchainducendo l'utente a eseguire script di PowerShell che avviavano una complessa catena a tre fasi. In quella versione precedente, anche la risoluzione dello schermo veniva controllata utilizzando algoritmi di crittografia e hashing per impedirne l'esecuzione in Macchine virtuali è stata eseguita un'analisi e sono stati utilizzati sistemi di crittografia sostitutiva e script VBScript per offuscare il payload finale.

Con la famiglia ROBOT la filosofia rimane la stessa, ma Il meccanismo di somministrazione è stato perfezionato e ogni fase dell'infezione è stata meglio modularizzataCOLDRIVER sfrutta la familiarità degli utenti con i CAPTCHA e i messaggi di verifica per aumentare la fiducia, riducendo al contempo la necessità di inviare allegati sospetti o link eccessivamente evidenti. Questo si traduce in campagne più difficili da rilevare sia per gli utenti che per alcune soluzioni di sicurezza.

NOROBOT: gateway e anello chiave della catena

NOROBOT è il componente che avvia l'infezione nei sistemi compromessiViene distribuito come file DLL eseguito da rundll32.exe, un binario Windows legittimo che gli aggressori sfruttano per mascherare le proprie attività. La sua funzione principale è scaricare e installare il malware successivo nella catena, che potrebbe essere YESROBOT o, nelle versioni più recenti, MAYBEROBOT.

Nelle prime fasi della campagna, NOROBOT includeva un rumore di passo facilmente rilevabilePer il funzionamento di YESROBOT era necessario scaricare e installare una versione completa di Python 3.8 sul computer della vittima. Questa azione generava file aggiuntivi, modifiche visibili al sistema e traffico di rete che avrebbero potuto destare sospetti tra gli analisti o gli esperti di sicurezza.

Con il tempoGli operatori COLDRIVER sono andati Ottimizzazione del NOROBOT per renderlo più silenzioso ed efficienteI ricercatori di Google sottolineano che la catena di infezione associata a questa DLL ha attraversato fasi di semplificazione, con l'obiettivo di aumentare le probabilità di esecuzione riuscita, prima di reintrodurre la complessità in punti specifici, come l'uso di chiavi crittografiche divise e altri meccanismi di offuscamento che ostacolano l'analisi statica e dinamica.

Lo sviluppo continuo di NOROBOT Ciò dimostra che COLDRIVER non si limita a rilasciare una versione e a dimenticarsene, ma piuttosto rivede, testa e aggiorna costantemente il proprio codice per aggirare nuove firme di rilevamento, regole SIEM e analisi euristiche. Questo continuo perfezionamento è in linea con il modello osservato da GTIG: un aumento del "tasso di operazioni", in cui le iterazioni del malware si susseguono rapidamente dopo ogni fuga di notizie o segnalazione pubblica.

Da un punto di vista difensivo, monitorare le esecuzioni sospette di rundll32.exe Controllare il caricamento di DLL insolite e monitorare le connessioni in uscita verso domini o IP sconosciuti è fondamentale per rilevare l'attività di NOROBOT. Il suo ruolo di primo anello della catena lo rende un obiettivo prioritario per il rilevamento precoce.

YESROBOT: backdoor minima e soluzione temporanea

YESROBOT rappresenta la prima risposta rapida di COLDRIVER Dopo la scoperta di LOSTKEYS, si è scoperto che si trattava di una backdoor molto elementare scritta in Python. I dati di Google indicano che questa backdoor è stata implementata solo in un paio di casi specifici nell'arco di circa due settimane a fine maggio, subito dopo la pubblicazione dei dettagli tecnici di LOSTKEYS.

A livello funzionale, YESROBOT utilizza connessioni HTTPS a un server di comando e controllo (C2) codificato per ricevere istruzioni. Sebbene il suo codice sia relativamente semplice, consente il download e l'esecuzione di file aggiuntivi sul sistema infetto, nonché l'individuazione e l'esfiltrazione di documenti ritenuti preziosi dagli aggressori. È uno strumento sufficiente per stabilire un accesso remoto iniziale, ma non offre le funzionalità avanzate del suo successore.

Il fatto che siano state osservate così poche infezioni con YESROBOT supporta la teoria degli analisti: Sarebbe stata una “toppa” temporanea Mentre il gruppo completava lo sviluppo dell'impianto, desiderava davvero utilizzare MAYBEROBOT a lungo termine. In effetti, la struttura iniziale di NOROBOT, che scarica l'intero ambiente Python, suggerisce una certa dose di improvvisazione per colmare il vuoto lasciato da LOSTKEYS.

Con l'emergere di MAYBEROBOT e l'eliminazione del requisito di un'installazione completa di Python, YESROBOT è praticamente abbandonato di COLDRIVER. Ciononostante, la sua esistenza conferma che il gruppo è disposto a sacrificare eleganza e discrezione in favore della velocità, quando messo sotto pressione dalla divulgazione pubblica dei suoi precedenti strumenti.

Per i team di sicurezza, qualsiasi traccia di Python in esecuzione in modo anomalo su macchine dove non dovrebbe essere utilizzato Ciò dovrebbe far sorgere dei dubbi, soprattutto se combinato con l'attività di rundll32 e il traffico crittografato verso server C2 sconosciuti, poiché potrebbe indicare un tentativo di utilizzare YESROBOT o altri strumenti personalizzati basati su questo linguaggio.

MAYBEROBOT: Impianto in un PowerShell più maturo e flessibile

MAYBEROBOT è l'evoluzione naturale dell'arsenale di COLDRIVER E il componente che, secondo i ricercatori, ha sostituito in modo affidabile YESROBOT nelle campagne più recenti. A differenza del suo predecessore Python, questo impianto è scritto in PowerShell, il che gli consente di integrarsi meglio con l'ambiente Windows e di ridurre la necessità di componenti esterni vistosi.

Questo impianto È progettato per essere estensibile e adattabile in base alle esigenze di ogni operazione.Le sue capacità includono il download e l'esecuzione di payload da un URL controllato dagli aggressori e l'esecuzione di comandi arbitrari tramite cmdFile .exe e l'esecuzione diretta di codice PowerShell aggiuntivo. Ciò consente agli operatori di estendere le capacità del malware quasi in tempo reale, senza dover riprogettare l'intero impianto.

Essendo basato su PowerShell, MAYBEROBOT trae vantaggio da una superficie di attacco molto comune Nell'ecosistema Windows, l'uso di script e automazione è comune sia tra gli amministratori legittimi che tra gli aggressori. Questa dualità rende difficile un filtraggio rigoroso, poiché il blocco completo di PowerShell non è sempre fattibile in ambienti aziendali complessi.

Le analisi pubblicate suggeriscono che MAYBEROBOTT è riservato agli obiettivi strategiciÈ probabile che questi obiettivi siano stati precedentemente profilati tramite campagne di phishing o raccolta di informazioni. L'obiettivo non è un attacco massiccio, ma un'intrusione chirurgica che consenta l'accesso persistente a sistemi specifici per rubare dati, documenti sensibili e altre informazioni preziose per periodi prolungati.

Di fronte a questo tipo di minaccia, È essenziale disporre di policy rigorose per l'utilizzo di PowerShell (ad esempio, limitandolo alle versioni con registrazione degli script, disabilitando l'esecuzione non firmata, abilitando i registri avanzato e correlare la sua attività con EDR/SIEM) e rivedere in modo proattivo i comandi, gli script e le connessioni di rete sospetti collegati alla sua esecuzione.

Dal furto di credenziali al controllo diretto dei dispositivi

Prima dell'apparizione di LOSTKEYS e della famiglia ROBOTCOLDRIVER era noto soprattutto per le sue campagne di phishing altamente mirate contro diplomatici occidentali, dissidenti, personale dei servizi segreti e operatori di ONG, con l'obiettivo di ottenere le loro credenziali di accesso ai servizi cloud e agli account di posta elettronica.

La pubblicazione dei report di Google ha segnato una svolta: LOSTKEYS ha dimostrato che il gruppo stava compiendo il salto verso la compromissione diretta del dispositivoQuesto malware veniva distribuito tramite catene di infezione personalizzate, ciascuna dotata di identificatori e chiavi di crittografia propri, ed era in grado di rubare file di sistema, documenti e altri dati locali, oltre a continuare ad acquisire credenziali.

Con NOROBOT, YESROBOT e MAYBEROBOT, Questa tendenza sta diventando più forte e sofisticataInvece di limitarsi a catturare le password, COLDRIVER cerca di installare impianti persistenti che gli consentono di operare all'interno delle reti dei suoi obiettivi, muoversi lateralmente, esfiltrare grandi volumi di informazioni e adattare le sue tattiche in base alle difese che incontra.

Gli esperti del settore sottolineano che Il furto di credenziali rimane un rischio costantePerché anche le password più complesse possono essere vittime di questo tipo di malware, soprattutto se gli utenti non utilizzano l'autenticazione a più fattori o se le organizzazioni non monitorano costantemente le credenziali compromesse. Tuttavia, l'attenzione si sta spostando sempre più verso la necessità di proteggere anche l'endpoint da queste catene di password avanzate. Scopri di più sui casi di studio di furto di password Aiuta a comprendere i rischi.

Google stessa ha reagito aggiungendo i domini e i file associati a LOSTKEYS e alle nuove campagne ai suoi sistemi di Navigazione Sicura, oltre a inviare avvisi diretti agli utenti Gmail e Workspace potenzialmente interessati. Tuttavia, nessuna soluzione automatizzata può sostituire le buone pratiche di sicurezza e il monitoraggio attivo dei comportamenti anomali sui dispositivi.

Come i CAPTCHA "Non sono un robot" vengono sfruttati per diffondere malware

L'uso fraudolento dei CAPTCHA è uno degli elementi più pericolosi di queste campagne.Gli utenti sono abituati a vedere verifiche del tipo "Non sono un robot" su una moltitudine di servizi legittimi, quindi tendono a fidarsi quasi senza pensarci, soprattutto quando sembrano far parte della normale esperienza di navigazione.

Gli aggressori COLDRIVER creano pagine web apparentemente innocue, con moduli o contenuti che imitano i portali attendibiliAggiungono quindi un CAPTCHA falso o una finestra pop-up che avvisa di un problema tecnico. Invece di un semplice clic su una casella, il messaggio potrebbe chiedere all'utente di copiare un comando nella casella "Esegui" di Windows, installare un presunto aggiornamento o scaricare un file per completare la verifica.

Eseguendo queste azioni, l'utente, inconsapevolmente, Esegue script che modificano il registro di sistema.Pianificano le attività per garantire la persistenza e introducono nel computer nuovi malware, come YESROBOT o MAYBEROBOT. La maggior parte dei programmi antivirus tradizionali potrebbe avere difficoltà a rilevare queste minacce in tempo reale, soprattutto se si basano su crittografia, offuscamento e utilizzo di strumenti legittimi del sistema operativo.

Gli esperti sottolineano che Questa tecnica non è del tutto nuova, ma è stata perfezionata nel tempo.Dai classici CAPTCHA per risolvere problemi matematici o selezionare immagini, siamo passati a caselle e flussi di verifica molto più plausibili. Gli aggressori sono piuttosto abili nel copiare l'aspetto dei sistemi autentici, rendendo più difficile distinguere una verifica legittima da una fraudolenta.

Tutto questo fa parte di una tendenza più ampia in cui campagne tradizionali, come il phishing via e-mailContinuano a migliorare grazie agli strumenti di automazione e, sempre più, grazie alla Intelligenza artificialeCiò consente la creazione di messaggi più convincenti, pagine false meglio progettate e sequenze di attacco più raffinate, aumentando la probabilità che l'utente cada nella truffa.

Impatto globale e casi correlati al di fuori dell'ambiente puramente tecnico

L'attività di COLDRIVER non si limita al solo ambito digitale.Con la rivelazione dei dettagli di NOROBOT, YESROBOT e MAYBEROBOT, le autorità olandesi hanno scoperto un caso che dimostra come queste operazioni possano contare su collaboratori sul campo.

Lo ha annunciato la Procura olandese (Openbaar Ministerie, OM). Tre diciassettenni sono indagati per aver fornito servizi a un governo stranieroUno di loro, presumibilmente in contatto con un gruppo di hacker legato al governo russo, avrebbe incaricato gli altri due di mappare le reti Wi-Fi in diverse zone dell'Aia, lavoro le cui informazioni sarebbero state cedute in cambio di un compenso economico.

Secondo l'OM, Questa mappatura di rete potrebbe essere utilizzata per operazioni di spionaggio digitale e attacchi informaticiCiò collega l'attività fisica (raccolta dati su infrastrutture wireless) a campagne malware avanzate attribuite ad attori statali. Due dei sospettati sono stati arrestati nel settembre 2025, mentre il terzo, con un ruolo considerato più limitato, rimane agli arresti domiciliari.

Le autorità olandesi hanno aggiunto che, per il momento, Non ci sono prove che il sospettato abbia subito pressioni per entrare in contatto diretto con il gruppo di hacker.Ciò suggerisce che la collaborazione fosse volontaria, probabilmente motivata da interessi economici. Questo caso è in linea con la tendenza ad esternalizzare alcune attività di ricognizione a terzi, riducendo l'esposizione diretta dei principali operatori.

Nel complesso, questo scenario conferma che Lo spionaggio informatico sostenuto dallo Stato combina tecniche avanzate, ingegneria sociale e supporto logistico fisicoCiò rappresenta una minaccia molto difficile da affrontare esclusivamente con strumenti tecnici. La cooperazione internazionale e l'applicazione della legge svolgono un ruolo importante quanto il miglioramento continuo sicurezza informatica difensiva.

Misure di protezione consigliate per utenti e organizzazioni

Sebbene le campagne di COLDRIVER siano principalmente focalizzate su obiettivi di alto valoreMolti dei vettori di attacco utilizzati (pagine con CAPTCHA falsi, file HTML dannosi, abuso di PowerShell) possono colpire sia gli utenti domestici che le piccole imprese. Pertanto, è fondamentale implementare una combinazione di best practice e controlli tecnici.

Da una prospettiva di igiene digitale, Il buon senso resta la prima linea di difesaSe un sito web, un messaggio pop-up o un presunto CAPTCHA ti chiede di copiare e incollare un comando, installare un plugin strano, scaricare un file o accedere a un sito che non riconosci, è consigliabile essere sospettosi e chiudere la pagina. In circostanze normali, i CAPTCHA legittimi non richiedono questo tipo di azioni intrusive.

In ambito aziendale, gli specialisti raccomandano monitorare attentamente l'esecuzione di rundll32.exe e PowerShellbloccare attività sospette e impostare avvisi per esecuzioni al di fuori dei normali schemi. Si consiglia inoltre di filtrare o bloccare, ove possibile, gli allegati HTML nelle e-mail e le pagine in cui sono stati rilevati CAPTCHA falsi, nonché di aggiornare costantemente gli indicatori di compromissione (IOC) relativi a NOROBOT, YESROBOT e MAYBEROBOT, e Abilita SmartScreen in Windows.

Un altro livello importante è la protezione della rete: Rafforzare l'ispezione del traffico HTTPS verso server C2 sconosciutiApplica liste di blocco dinamiche, usa DNS filtrati e affidati a strumenti sandbox per analizzare il comportamento di file e script sospetti prima di consentirne l'esecuzione negli ambienti di produzione.

Inoltre, sia nelle case che nelle aziende, È essenziale avere un buon antivirus o una suite di sicurezza (miglior antivirus live), opportunamente aggiornato e integrato con aggiornamenti automatici del sistema operativo e delle applicazioni. In ambiente Windows, soluzioni come Microsoft Defender, Avast, Bitdefender e altre alternative affidabili forniscono una base solida, sebbene non infallibile. Gli aggiornamenti costanti aiutano a mitigare le vulnerabilità che gli aggressori potrebbero sfruttare per ottenere privilegi o aggirare i controlli.

Se sospetti di aver inserito la tua password su un sito web sospetto o di aver eseguito un comando dannoso, Agire rapidamente: modificare immediatamente le credenziali interessateVerificare la presenza di segnali di accessi insoliti, abilitare l'autenticazione a più fattori ove possibile e valutare l'esecuzione di una scansione completa del sistema con strumenti anti-malware specializzati. verificare l'integrità del file.

La storia recente di LOSTKEYS e i tre nuovi malware russi di COLDRIVER Ciò dimostra che i gruppi di spionaggio informatico sostenuti dallo Stato sono in continua evoluzione.Quando uno strumento viene reso pubblico e viene "bruciato", reagiscono nel giro di pochi giorni con nuove varianti più modulari, più adatte alle difese attuali, affidandosi sempre di più all'inganno tramite falsi CAPTCHA e all'uso intelligente di componenti di sistema legittimi per passare inosservati.