Tres nuevos malware ruso de COLDRIVER y su peligrosa evolución

El grupo de ciberespionaje ruso COLDRIVER, también conocido en los informes de seguridad como Star Blizzard, ColdRiver, Callisto o UNC4057, ha dado un salto cualitativo en su forma de atacar tras ver cómo una de sus herramientas principales, LOSTKEYS, quedaba totalmente expuesta por los investigadores de Google. Lejos de frenarse, el colectivo ha reaccionado en cuestión de días con una nueva generación de malware diseñada para mantener sus operaciones de espionaje a pleno rendimiento.

Este cambio de estrategia pone de manifiesto la capacidad de adaptación y el ritmo acelerado de desarrollo de COLDRIVER. Sus víctimas favoritas siguen siendo periodistas, organizaciones de derechos humanos, ONG, gobiernos, asesores políticos y otros perfiles de alto valor en Europa y Estados Unidos, pero ahora el foco ya no está sólo en robar credenciales, sino en tomar el control directo de los equipos comprometidos mediante una cadena de infección compleja basada en falsos CAPTCHA y en la ejecución de comandos de PowerShell.

Tres nuevos malware ruso de COLDRIVER: NOROBOT, YESROBOT y MAYBEROBOT

Tras la publicación del análisis técnico de LOSTKEYS por parte del Google Threat Intelligence Group (GTIG), los operadores de COLDRIVER tardaron apenas cinco días en desplegar tres nuevas familias de malware: NOROBOT, YESROBOT y MAYBEROBOT. Estas piezas no funcionan de forma aislada, sino que forman una cadena de distribución conectada entre sí que sustituye por completo a LOSTKEYS dentro del arsenal del grupo.

Los analistas de Google han descrito esta familia “ROBOT” como un conjunto de implantes relacionados que cooperan en distintas fases de la infección. NOROBOT actúa como componente inicial que se instala en el sistema mediante un archivo DLL ejecutado con rundll32.exe; YESROBOT aparece como una backdoor mínima en Python usada brevemente como solución provisional; y MAYBEROBOT se consolida como el implante principal en PowerShell, más estable, sigiloso y flexible, pensado para operaciones de espionaje prolongadas.

COLDRIVER ha pasado de centrarse casi exclusivamente en el phishing de credenciales a apostar por malware personalizado que les permite extraer documentos, archivos del sistema y otra información sensible directamente desde los dispositivos de las víctimas. Este giro aumenta el impacto potencial de cada intrusión y complica la tarea de detección, ya que no basta con vigilar inicios de sesión sospechosos; ahora hay que seguir de cerca actividad anómala de PowerShell, rundll32 y tráfico HTTPS cifrado hacia servidores de mando y control (C2) poco conocidos.

Las nuevas herramientas se han diseñado para ser desplegadas selectivamente contra objetivos de especial interés, a menudo previamente identificados mediante campañas de phishing u otras formas de reconocimiento. El objetivo es claro: mantener acceso prolongado a sus dispositivos, recolectar inteligencia estratégica y esquivar los sistemas de seguridad que ya han aprendido a detectar variantes anteriores como LOSTKEYS.

Cadena de infección basada en señuelos ClickFix y falsos CAPTCHA

Uno de los cambios más llamativos en la operativa de COLDRIVER es el abandono progresivo del clásico correo de phishing con enlace o adjunto malicioso en favor de una técnica de ingeniería social conocida como ClickFix. Esta técnica se apoya en páginas HTML diseñadas para simular problemas técnicos o verificaciones de seguridad muy familiares para el usuario, como el típico “No soy un robot”.

En estas campañas, la víctima llega a una página que muestra un falso CAPTCHA “No soy un robot” o una ventana emergente que aparenta ser una comprobación rutinaria. En lugar de resolver un simple puzzle visual, el usuario es guiado para que copie y pegue un comando en el cuadro de diálogo “Ejecutar” de Windows o en una consola PowerShell, creyendo que está solucionando un error de verificación. Ese comando es, en realidad, el punto de entrada del ataque.

Google ha bautizado el señuelo HTML inicial como COLDCOPY. Este archivo HTML ClickFix es el responsable de dejar caer en el sistema una DLL llamada NOROBOT, que es la pieza encargada de dar el siguiente paso en la cadena de infección. A nivel práctico, basta que la víctima siga las instrucciones aparententemente inocuas del falso CAPTCHA para que NOROBOT termine instalado y listo para actuar.

En etapas previas, LOSTKEYS ya utilizaba un enfoque similar con captchas falsos, engañando al usuario para que ejecutara scripts de PowerShell que iniciaban una compleja cadena de tres fases. En esa versión antigua, se comprobaba incluso la resolución de pantalla mediante algoritmos de cifrado y hash para impedir su ejecución en máquinas virtuales de análisis, y se recurría a sistemas de cifrado de sustitución y scripts en VBScript para ofuscar la carga final.

Con la familia ROBOT, la filosofía se mantiene, pero se pule el mecanismo de entrega y se modulariza mejor cada etapa de la infección. COLDRIVER aprovecha la familiaridad del usuario con los CAPTCHA y con mensajes de verificación para aumentar el nivel de confianza, al tiempo que reduce la necesidad de enviar adjuntos sospechosos o enlaces demasiado obvios. Esto se traduce en campañas más difíciles de detectar tanto por los usuarios como por algunas soluciones de seguridad.

NOROBOT: puerta de entrada y eslabón clave en la cadena

NOROBOT es el componente que inaugura la infección en los sistemas comprometidos. Se distribuye como una DLL que se ejecuta mediante rundll32.exe, un binario legítimo de Windows que los atacantes aprovechan para camuflar sus actividades. Su misión principal es descargar e instalar el siguiente malware de la cadena, que puede ser YESROBOT o, en versiones más actuales, directamente MAYBEROBOT.

En las primeras iteraciones de la campaña, NOROBOT incluía un paso ruidoso y fácil de detectar: descargar e instalar una versión completa de Python 3.8 en el equipo de la víctima, necesaria para que YESROBOT pudiera funcionar. Este movimiento generaba archivos adicionales, cambios visibles en el sistema y tráfico de red que podían despertar sospechas en analistas o herramientas de seguridad.

Con el tiempo, los operadores de COLDRIVER han ido afinando NOROBOT para hacerlo más silencioso y eficaz. Los investigadores de Google señalan que la cadena de infección asociada a esta DLL ha pasado por fases de simplificación, con el objetivo de aumentar las probabilidades de ejecución exitosa, para luego volver a introducir complejidad en puntos concretos, como el uso de claves criptográficas divididas y otros mecanismos de ofuscación que dificultan el análisis estático y dinámico.

El desarrollo continuo de NOROBOT demuestra que COLDRIVER no se limita a lanzar una versión y olvidarse, sino que revisa, prueba y actualiza su código de forma constante para sortear nuevas firmas de detección, reglas de SIEM y análisis heurísticos. Este refinamiento continuo encaja con el patrón observado por GTIG: un incremento del “ritmo de operaciones”, donde las iteraciones de malware se suceden con rapidez tras cada filtración o informe público.

Desde el punto de vista defensivo, vigilar ejecuciones sospechosas de rundll32.exe que carguen DLL no habituales y monitorizar conexiones salientes hacia dominios o IP desconocidos es clave para detectar la actividad de NOROBOT. Su papel como primer eslabón de la cadena lo convierte en un objetivo prioritario para la detección temprana.

YESROBOT: backdoor mínima y solución provisional

YESROBOT representa la primera respuesta rápida de COLDRIVER tras la exposición de LOSTKEYS, actuando como una backdoor muy básica escrita en Python. Los registros de Google indican que esta puerta trasera sólo se desplegó en un par de casos concretos durante unas dos semanas a finales de mayo, justo después de hacerse públicos los detalles técnicos de LOSTKEYS.

A nivel funcional, YESROBOT utiliza conexiones HTTPS a un servidor de mando y control (C2) codificado para recibir instrucciones. Aunque su código es relativamente sencillo, permite descargar y ejecutar archivos adicionales en el sistema infectado, así como localizar y exfiltrar documentos considerados de interés por los atacantes. Es una herramienta suficiente para establecer un primer acceso remoto, pero sin las capacidades avanzadas de su sucesor.

El hecho de que se observaran tan pocas infecciones con YESROBOT respalda la teoría de los analistas: habría sido un “parche” temporal mientras el grupo terminaba de desarrollar el implante que realmente quería utilizar a largo plazo, MAYBEROBOT. De hecho, la propia estructura inicial de NOROBOT, descargando Python completo, sugiere cierta improvisación para cubrir el hueco dejado por LOSTKEYS.

Con la aparición de MAYBEROBOT y la eliminación del requisito de una instalación completa de Python, YESROBOT queda prácticamente abandonado por COLDRIVER. Aun así, su existencia confirma que el grupo está dispuesto a sacrificar elegancia y sigilo en favor de la velocidad cuando se ve presionado por la divulgación pública de sus herramientas previas.

Para los equipos de seguridad, cualquier rastro de Python ejecutándose de forma anómala en equipos donde no debería usarse debería disparar las alarmas, especialmente si se combina con actividad procedente de rundll32 y tráfico cifrado hacia C2 desconocidos, ya que podría indicar un intento de uso de YESROBOT u otras herramientas personalizadas basadas en este lenguaje.

MAYBEROBOT: implante en PowerShell más maduro y flexible

MAYBEROBOT es la evolución natural del arsenal de COLDRIVER y la pieza que, según los investigadores, ha reemplazado de forma estable a YESROBOT en las campañas más recientes. A diferencia de su antecesor en Python, este implante está escrito en PowerShell, lo que le permite integrarse mejor con el entorno Windows y reducir la necesidad de componentes externos llamativos.

Este implante está diseñado para ser extensible y adaptable según la necesidad de cada operación. Entre sus capacidades se encuentran la descarga y ejecución de cargas útiles desde una URL controlada por los atacantes, la ejecución de comandos arbitrarios mediante cmd.exe y la ejecución directa de código PowerShell adicional. Esto hace posible que los operadores amplíen las funciones del malware casi en tiempo real sin tener que rediseñar todo el implante.

Al estar basado en PowerShell, MAYBEROBOT se beneficia de una superficie de ataque muy habitual en el ecosistema Windows, donde el uso de scripts y automatizaciones es frecuente tanto en administradores legítimos como en atacantes. Esta dualidad dificulta el filtrado estricto, ya que bloquear por completo PowerShell no siempre es viable en entornos corporativos complejos.

Los análisis publicados apuntan a que MAYBEROBOT se reserva para objetivos estratégicos, probablemente ya perfilados previamente mediante campañas de phishing o recolección de información. El propósito no es el ataque masivo, sino una intrusión quirúrgica que permita acceder de forma persistente a sistemas concretos para robar datos, documentos sensibles y otra información de inteligencia valiosa durante períodos prolongados.

Ante este tipo de amenaza, resulta esencial contar con políticas estrictas de uso de PowerShell (por ejemplo, limitarlo a versiones con registro de scripts, desactivar la ejecución sin firma, habilitar logs avanzados y correlacionar su actividad con EDR/SIEM) y revisar de forma proactiva comandos, scripts y conexiones de red sospechosos ligados a su ejecución.

Del robo de credenciales al control directo de los dispositivos

Antes de la aparición de LOSTKEYS y de la familia ROBOT, COLDRIVER era conocido sobre todo por campañas de phishing muy dirigidas contra diplomáticos occidentales, disidentes, personal de inteligencia y trabajadores de ONG, con el objetivo de obtener sus credenciales de acceso a servicios en la nube y cuentas de correo.

La publicación de los informes de Google marcó un punto de inflexión: LOSTKEYS demostró que el grupo estaba dando el salto hacia el compromiso directo de los dispositivos. Este malware se desplegaba a través de cadenas de infección personalizadas, cada una con sus propios identificadores y claves de cifrado, y tenía la capacidad de robar archivos del sistema, documentos y otros datos locales, además de continuar capturando credenciales.

Con NOROBOT, YESROBOT y MAYBEROBOT, esta tendencia se refuerza y se hace más sofisticada. En lugar de conformarse con capturar contraseñas, COLDRIVER busca instalar implantes persistentes que le permitan operar dentro de las redes de sus objetivos, moverse lateralmente, exfiltrar grandes volúmenes de información y adaptar sus tácticas en función de las defensas que vaya encontrando.

Los expertos del sector recuerdan que el robo de credenciales sigue siendo un riesgo constante, porque incluso las contraseñas más robustas pueden caer ante malware de este tipo, sobre todo si los usuarios no aplican autenticación multifactor o si las organizaciones no monitorizan de forma continua las credenciales comprometidas. No obstante, el foco se desplaza cada vez más hacia la necesidad de proteger también el endpoint frente a estas cadenas avanzadas. Más información sobre casos de robo de contraseñas ayuda a entender los riesgos.

La propia Google ha reaccionado añadiendo los dominios y archivos asociados a LOSTKEYS y a las nuevas campañas a sus sistemas de Navegación Segura, además de enviar alertas directas a usuarios de Gmail y Workspace potencialmente afectados. Aun así, ninguna solución automática sustituye a unas buenas prácticas de seguridad y a una vigilancia activa de comportamientos anómalos en los equipos.

Cómo se explotan los CAPTCHA “No soy un robot” para propagar malware

El uso malicioso de los CAPTCHA es uno de los elementos más peligrosos de estas campañas. Los usuarios están acostumbrados a ver verificaciones “No soy un robot” en multitud de servicios legítimos, por lo que tienden a confiar en ellas casi sin pensarlo, especialmente cuando parecen formar parte de la experiencia habitual de navegación.

Los atacantes de COLDRIVER construyen páginas web aparentemente inofensivas, con formularios o contenidos que imitan a portales de confianza, y añaden sobre ellos un falso CAPTCHA o una ventana emergente que advierte de un problema técnico. En lugar de un simple clic en una casilla, el mensaje puede indicar al usuario que copie un comando en el cuadro “Ejecutar” de Windows, instale una supuesta actualización o descargue un archivo para completar la verificación.

Al realizar estas acciones, el usuario, sin saberlo, ejecuta scripts que modifican el registro del sistema, programan tareas para garantizar la persistencia e introducen nuevas piezas de malware, como YESROBOT o MAYBEROBOT, en el equipo. La mayoría de antivirus tradicionales pueden tener dificultades para detectar estas amenazas en tiempo real, especialmente si se apoyan en cifrado, ofuscación y uso de herramientas legítimas del propio sistema operativo.

Los expertos subrayan que esta técnica no es completamente nueva, pero sí se ha perfeccionado con el tiempo. Del clásico CAPTCHA de resolver operaciones matemáticas o seleccionar imágenes, se ha pasado a cuadros de verificación y flujos mucho más plausibles. Los atacantes copian con bastante fidelidad la apariencia de los sistemas genuinos, lo que hace más complicado distinguir una verificación legítima de una fraudulenta.

Todo esto se enmarca en una tendencia más amplia donde campañas tradicionales, como el phishing por correo electrónico, siguen mejorando gracias a herramientas de automatización y, cada vez más, gracias a la Inteligencia Artificial. Esto permite generar mensajes más convincentes, páginas falsas mejor diseñadas y secuencias de ataque más pulidas, incrementando las probabilidades de que el usuario caiga en el engaño.

Impacto global y casos relacionados fuera del entorno puramente técnico

La actividad de COLDRIVER no se limita al plano puramente digital. A la par que se han revelado los detalles de NOROBOT, YESROBOT y MAYBEROBOT, las autoridades de Países Bajos han destapado un caso que ilustra cómo estas operaciones pueden apoyarse en colaboradores sobre el terreno.

El Servicio de Fiscalía Pública neerlandés (Openbaar Ministerie, OM) anunció que tres jóvenes de 17 años estaban siendo investigados por prestar servicios a un gobierno extranjero. Uno de ellos, presuntamente en contacto con un grupo de hackers vinculado al gobierno ruso, habría dirigido a los otros dos para mapear redes Wi-Fi en diferentes zonas de La Haya, trabajo cuya información se habría entregado a cambio de una compensación económica.

Según el OM, esta cartografía de redes podría utilizarse para operaciones de espionaje digital y ciberataques, conectando así la actividad física (recopilación de datos sobre infraestructuras inalámbricas) con las campañas avanzadas de malware atribuidas a actores estatales. Dos de los sospechosos fueron detenidos en septiembre de 2025, mientras que el tercero, con un papel considerado más limitado, se mantiene en arresto domiciliario.

Las autoridades holandesas han añadido que, por el momento, no hay indicios de que se haya presionado al sospechoso en contacto directo con el grupo de hackers, lo que sugiere que la colaboración se habría producido de forma voluntaria, probablemente motivada por el beneficio económico. Este caso encaja con la tendencia de externalizar ciertas tareas de reconocimiento a terceros, reduciendo la exposición directa de los operadores principales.

En conjunto, este escenario confirma que el ciberespionaje respaldado por Estados mezcla técnicas avanzadas, ingeniería social y apoyo logístico físico, componiendo una amenaza muy difícil de abordar exclusivamente con herramientas técnicas. La cooperación internacional y la aplicación de la ley juegan un papel tan relevante como la mejora constante en ciberseguridad defensiva.

Medidas de protección recomendadas para usuarios y organizaciones

Aunque las campañas de COLDRIVER se orientan principalmente a objetivos de alto valor, muchos de los vectores utilizados (páginas con CAPTCHA falsos, archivos HTML maliciosos, abuso de PowerShell) pueden afectar igualmente a usuarios domésticos y pequeñas empresas. Por eso, resulta clave aplicar una combinación de buenas prácticas y controles técnicos.

Desde una perspectiva de higiene digital, el sentido común sigue siendo la primera línea de defensa. Si una página web, un mensaje emergente o un supuesto CAPTCHA te pide que copies y pegues un comando, instales un complemento extraño, descargues un archivo o inicies sesión en un sitio que no terminas de reconocer, lo prudente es desconfiar y cerrar la página. En circunstancias normales, los CAPTCHA legítimos no requieren este tipo de acciones intrusivas.

En el entorno corporativo, los especialistas recomiendan monitorizar de cerca la ejecución de rundll32.exe y de PowerShell, bloqueando actividades sospechosas y estableciendo alertas para ejecuciones fuera de los patrones habituales. También es aconsejable filtrar o bloquear, cuando sea posible, adjuntos HTML en el correo electrónico y páginas con CAPTCHA falsos detectados, así como actualizar continuamente los indicadores de compromiso (IOC) relacionados con NOROBOT, YESROBOT y MAYBEROBOT, y activar SmartScreen en Windows.

Otra capa importante es la protección de red: reforzar la inspección de tráfico HTTPS hacia servidores C2 desconocidos, aplicar listas de bloqueo dinámicas, usar DNS filtrado y apoyarse en herramientas de sandboxing para analizar comportamientos de archivos y scripts sospechosos antes de permitir su ejecución en entornos de producción.

Además, tanto en hogares como en empresas, es esencial contar con un buen antivirus o suite de seguridad (mejores antivirus live), debidamente actualizado y complementado con sistemas de actualización automática del sistema operativo y las aplicaciones. En el ámbito Windows, soluciones como Microsoft Defender, Avast, Bitdefender u otras alternativas reputadas proporcionan una base sólida, aunque no infalible. La actualización constante ayuda a mitigar vulnerabilidades que los atacantes podrían aprovechar para ganar privilegios o evadir controles.

Si sospechas que has introducido tu contraseña en una página dudosa o que has ejecutado un comando malicioso, actúa con rapidez: cambia inmediatamente las credenciales afectadas, revisa si hay indicios de accesos inusuales, activa mecanismos de autenticación multifactor cuando sea posible y considera realizar un análisis completo del equipo con herramientas antimalware especializadas y verificar integridad de archivos.

La historia reciente de LOSTKEYS y de los tres nuevos malware ruso de COLDRIVER demuestra que los grupos de ciberespionaje respaldados por Estados están en constante evolución: cuando una herramienta se hace pública y queda “quemada”, reaccionan en días con variantes nuevas, más modulables y mejor adaptadas a las defensas actuales, apoyándose cada vez más en el engaño a través de CAPTCHA falsos y en el uso inteligente de componentes legítimos del sistema para pasar desapercibidos.