El grupo de amenaza persistente avanzada rusa (APT) conocido como Coldriver se atribuye a un ataque fresco de estilo ClickFix diseñado para proporcionar dos nuevas familias de malware «livianas» rastreadas como Switch y Simplefix.
ZSCALER AMENAYLABZ, que detectó una nueva campaña de CLIC FIX de varias etapas a principios de este mes, describió a Baitswitch como un descargador que finalmente deja caer SimpleFix, una puerta trasera de PowerShell.
Tracked también como Callisto, Star Blizzard y UNC4057, Coldriver es un apodo asignado a los actores de amenaza relacionados con Rusia que se sabe que apuntan a una amplia gama de sectores desde 2019.
El uso de tácticas enemigas de clickfix utilizará sitios falsos previamente documentados por Google Threat Intelligence Group (GTIG) en mayo de 2025 y utilizará sitios falsos que proporcionan indicaciones falsas de verificación Captcha para engañar a las víctimas y ejecutar comandos de PowerShell diseñados para proporcionar un script de Lost Keys Visual Basic.
«El uso continuo de ClickFix sugiere que es un vector de infección efectivo, incluso si no es innovador o tecnológicamente avanzado», dijeron los investigadores de seguridad de Zscaler Sudeep Singh y Yin Hong Chang en un informe publicado esta semana.
La última cadena de ataque sigue el mismo truco y obliga a los usuarios desprevenidos a ejecutar dlls maliciosos en el diálogo de Windows Run, pose como si completaran un cheque de captcha. Baitswitch en la DLL se extiende al dominio de control del atacante («Captchanom (.) Top») para obtener una puerta trasera de Simplefix, y se presenta un documento de señuelo alojado en Google Drive a la víctima.
También realiza varias solicitudes de HTTP al mismo servidor para enviar información del sistema, recibe comandos que establecen persistencia, almacenan la carga útil cifrada en el registro de Windows, descarga PowerShell Stager, borra los últimos comandos ejecutados en el diálogo Ejecutar Ejecutar rastros de los ataques de ClickFix que causaron la infección.
El PowerShell Stager descargado se comunicará con el servidor externo («SouthProvesolutions (.) Com») para descargar SimpleFix. Esto establece la comunicación con el servidor de comando y control (C2) para ejecutar binarios alojados por scripts, comandos y URL remotas de PowerShell.
Uno de los scripts de PowerShell ejecutados en SimpleFix Exftrate se ejecuta a través de información sobre una lista codificada de tipos de archivos en una lista de directorios preconfigurados. La lista de listados de directorio y la lista de extensión de archivos se superponen con los stock de LostKeys.
«El Grupo de Apt Coldriver es conocido por atacar a los miembros de las ONG, los defensores rojos humanos, los think tanks en la región occidental y las personas que han sido exiliadas y residentes en Rusia», dijo Zscaler. «El enfoque de esta campaña está estrechamente alineado con las víctimas dirigidas a miembros de la sociedad civil asociada con Rusia».
El equipo de Bo y el objetivo de Rusia
El desarrollo se está desarrollando a medida que Kaspersky dijo a principios de septiembre que una nueva campaña de phishing dirigida a las empresas rusas, realizada por el grupo de equipos BO (también conocido como Black Owl, Hoody Hyena, Levanting Zmiy) utilizó un archivo de rar protegido por contraseña para proporcionar una nueva versión de Brockendoor Rewrith y una versión actualizada de Zeronetkit.
Zeronetkit de Golang Backdoor admite acceso remoto a hosts comprometidos, características para cargar/descargar archivos, ejecutar comandos usando cmd.exe y crear túneles TCP/IPV4. La nueva versión que seleccione también incluye soporte para descargar y ejecutar ShellCode, actualizar el intervalo de comunicación con C2 y modificar la lista de servidores C2.
«Debido a que Zeronetkit no se puede sostener de forma independiente en los sistemas infectados, los atacantes usarán Brockendoor para copiar las puertas de traseros descargadas a las nuevas empresas», dijo un proveedor de seguridad cibernética rusa.
También sigue la aparición de un nuevo grupo llamado Bearlyfy, que utilizó existencias de ransomware como Lockbit 3.0 y Babuk en ataques dirigidos a Rusia en ataques dirigidos a Rusia. A partir de agosto de 2025, se estima que el grupo ha reclamado al menos 30 víctimas.
Se ha observado que un incidente dirigido a las empresas consultoras para armarse versiones vulnerables de BITRIX para el acceso inicial, y luego los privilegios de aumento utilizando los defectos de Zerorologon. Se dice que otro caso observado en julio fue promovido a través de un socio desconocido.
«En los últimos ataques registrados, los atacantes exigieron 80,000 euros en criptomonedas, pero en el primer ataque el rescate fue de miles de dólares», dijeron los investigadores de F6. «En promedio, todas las quinta víctimas compran descifradores al atacante debido a su relativo rescate bajo».
Bearlyfy ha sido calificado activo desde enero de 2025, y un análisis más profundo de su herramienta se ha superpuesto con un grupo de amenazas potencialmente ukrain llamado Phantomcore, donde es probable que la infraestructura se superponga.
«Phantomcore implementa los complejos ataques de varias etapas típicos de las campañas APT», dijo la compañía. «Por otro lado, Bearlyfy usa un modelo diferente. Utiliza ataques con un enfoque específico en lograr una preparación mínima y un efecto inmediato. El acceso inicial se logra mediante el uso de servicios externos y aplicaciones vulnerables. Los principales juegos de herramientas están destinados a ser cifrado, destrucción o corrección de datos».
Source link
