El nuevo malware, atribuido a un grupo de hackers vinculado a Rusia conocido como COLDRIVER, ha estado en desarrollo varias veces desde mayo de 2025, lo que sugiere un aumento en el «ritmo de operaciones» de los actores de amenazas.
Los hallazgos provienen del Google Threat Intelligence Group (GTIG), que afirma que en el mismo período, sólo cinco días después del lanzamiento del malware LOSTKEYS, los grupos de hackers patrocinados por el estado refinaron y reconstruyeron rápidamente su arsenal de malware.
Actualmente no está claro cuánto tiempo lleva en desarrollo la nueva familia de malware, pero el equipo de inteligencia de amenazas del gigante tecnológico dijo que no ha observado ni una sola instancia de LOSTKEYS desde su publicación.
El nuevo malware, con nombres en código NOROBOT, YESROBOT y MAYBEROBOT, es «una colección de familias de malware relacionadas conectadas a través de una cadena de distribución», dijo el investigador de GTIG Wesley Shields en un análisis el lunes.
La última ola de ataques es un poco diferente de las tácticas típicas de COLDRIVER, dirigidas a ONG, asesores políticos y figuras prominentes de la oposición para robar sus credenciales. Por el contrario, la nueva actividad giraba en torno al uso de señuelos estilo ClickFix para engañar a los usuarios para que ejecutaran comandos maliciosos de PowerShell a través del cuadro de diálogo Ejecutar de Windows como parte de un mensaje de verificación CAPTCHA falso.
Los ataques observados en enero, marzo y abril de 2025 dieron lugar a la introducción de un malware de robo de información conocido como LOSTKEYS, mientras que las intrusiones posteriores allanaron el camino para la familia de malware «ROBOT». Cabe señalar que Zscaler ThreatLabz rastrea las familias de malware NOROBOT y MAYBEROBOT con los nombres BAITSWITCH y SIMPLEFIX, respectivamente.
La nueva cadena de infección comienza con un señuelo HTML ClickFix llamado COLDCOPY que está diseñado para eliminar una DLL llamada NOROBOT, que se ejecuta a través de rundll32.exe y elimina la siguiente etapa del malware. Una versión anterior de este ataque supuestamente distribuyó una puerta trasera de Python conocida como YESROBOT antes de que los actores de amenazas cambiaran a un implante Powershell llamado MAYBEROBOT.
YESROBOT utiliza HTTPS para obtener comandos de un servidor de comando y control (C2) codificado. Es una puerta trasera mínima que admite la capacidad de descargar y ejecutar archivos para recuperar los documentos deseados. Hasta la fecha, sólo se han observado dos implementaciones de YESROBOT, específicamente durante un período de dos semanas a finales de mayo, poco después de que se hicieran públicos los detalles de LOSTKEYS.
Por el contrario, MAYBEROBOT se considera más flexible y extensible, con la capacidad de descargar y ejecutar cargas útiles desde URL específicas, ejecutar comandos usando cmd.exe y ejecutar código PowerShell.
Se cree que los atacantes de COLDRIVER desplegaron apresuradamente YESROBOT como un «mecanismo provisional» antes de abandonar YESROBOT en favor de MAYBEROBOT luego de su publicación. Esto se debe a que la versión inicial de NOROBOT también incluía un paso para descargar una instalación completa de Python 3.8 en el host comprometido. Este artefacto «ruidoso» seguramente despertará sospechas.
Google también señaló que es probable que el uso de NOROBOT y MAYBEROBOT se limite a objetivos de alto valor que pueden haber sido ya comprometidos por phishing, con el objetivo final de recopilar información adicional del dispositivo.
«Las cadenas de infección de NOROBOT y sus predecesoras han estado evolucionando constantemente, primero simplificándose para aumentar la probabilidad de una implementación exitosa y luego reintroduciendo la complejidad al dividir las claves criptográficas», dijo Shields. «Este desarrollo continuo destaca los esfuerzos del grupo para evadir los sistemas de detección y los mecanismos de entrega para la recopilación continua de inteligencia contra objetivos de alto valor».
Las revelaciones se produjeron después de que la fiscalía holandesa, conocida como Ministro Openvaal (OM), anunciara que tres hombres de 17 años son sospechosos de prestar servicios a gobiernos extranjeros, y uno de ellos es sospechoso de estar en contacto con un grupo de hackers afiliado al gobierno ruso.
«El sospechoso también ordenó a otras dos personas que mapearan redes Wi-Fi en varias fechas en La Haya», dijo el OM. «La información recopilada puede ser compartida por ex sospechosos con clientes a cambio de una tarifa y utilizada para espionaje digital o ataques cibernéticos».
Dos de los sospechosos fueron arrestados el 22 de septiembre de 2025 y el tercer sospechoso también fue entrevistado por las autoridades, pero actualmente se encuentra bajo arresto domiciliario debido a su «papel limitado» en el caso.
La agencia gubernamental holandesa añadió: «Aún no hay pruebas de que se haya aplicado presión alguna a los sospechosos que estaban en contacto con grupos de piratas informáticos estatales rusos».
Source link
