Un nuovo malware attribuito al gruppo di hacker COLDRIVER, legato alla Russia, ha subito numerose iterazioni di sviluppo da maggio 2025, suggerendo un aumento del “ritmo operativo” da parte degli attori della minaccia. Le scoperte provengono dal Google Threat Intelligence Group (GTIG), che ha osservato come il gruppo di hacker sponsorizzato dallo stato abbia rapidamente affinato e rielaborato il suo arsenale di malware pochi giorni dopo la pubblicazione del malware LOSTKEYS.
Attualmente non è noto da quanto tempo le nuove famiglie di malware siano in fase di sviluppo, ma il team di intelligence di Google ha dichiarato di non aver osservato alcun caso di LOSTKEYS dalla sua divulgazione. Il nuovo malware, con i nomi in codice NOROBOT, YESROBOT e MAYBEROBOT, è “una raccolta di famiglie di malware correlate collegate tramite una catena di distribuzione”, ha affermato il ricercatore di GTIG Wesley Shields in un’analisi di lunedì.
Strategie di attacco e nuove famiglie di malware
Le ultime ondate di attacchi rappresentano una sorta di deviazione dal modus operandi tipico di COLDRIVER, che solitamente prende di mira individui di alto profilo in ONG, consulenti politici e dissidenti per il furto di credenziali. Al contrario, la nuova attività ruota attorno all’uso di esche in stile ClickFix per ingannare gli utenti e far eseguire comandi PowerShell dannosi tramite la finestra di dialogo Esegui di Windows come parte di un falso prompt di verifica CAPTCHA.
Gli attacchi individuati a gennaio, marzo e aprile 2025 hanno portato al dispiegamento di un malware per il furto di informazioni noto come LOSTKEYS. Tuttavia, le intrusioni successive hanno aperto la strada alla famiglia di malware “ROBOT”. È interessante notare che le famiglie di malware NOROBOT e MAYBEROBOT sono tracciate da Zscaler ThreatLabz con i nomi BAITSWITCH e SIMPLEFIX, rispettivamente.
Catena di infezione e caratteristiche del malware
La nuova catena di infezione inizia con un’esca HTML ClickFix chiamata COLDCOPY, progettata per rilasciare una DLL chiamata NOROBOT, che viene poi eseguita tramite rundll32.exe per rilasciare il malware di fase successiva. Le versioni iniziali di questo attacco avrebbero distribuito un backdoor Python noto come YESROBOT, prima che gli attori della minaccia passassero a un impianto PowerShell chiamato MAYBEROBOT.
YESROBOT utilizza HTTPS per recuperare comandi da un server di comando e controllo (C2) codificato. Un backdoor minimale, supporta la capacità di scaricare ed eseguire file e recuperare documenti di interesse. Finora sono stati osservati solo due casi di distribuzione di YESROBOT, specificamente in un periodo di due settimane a fine maggio, poco dopo che i dettagli di LOSTKEYS sono diventati di dominio pubblico.
Al contrario, MAYBEROBOT è valutato come più flessibile ed estensibile, dotato di funzionalità per scaricare ed eseguire payload da un URL specificato, eseguire comandi utilizzando cmd.exe ed eseguire codice PowerShell. Si ritiene che gli attori di COLDRIVER abbiano frettolosamente distribuito YESROBOT come “meccanismo di emergenza” probabilmente in risposta alla divulgazione pubblica, prima di abbandonarlo a favore di MAYBEROBOT, poiché la prima versione di NOROBOT includeva anche un passaggio per scaricare un’installazione completa di Python 3.8 sull’host compromesso, un artefatto “rumoroso” destinato a sollevare sospetti.
Considerazioni finali
La rapida evoluzione del malware del gruppo COLDRIVER evidenzia la loro capacità di adattarsi rapidamente alle nuove circostanze e di sviluppare strumenti sempre più sofisticati. L’uso di esche ingannevoli e la diversificazione delle tecniche di attacco rappresentano una minaccia crescente per la sicurezza informatica globale. È fondamentale che le organizzazioni e gli individui rimangano vigili e adottino misure di sicurezza adeguate per proteggersi da queste minacce in continua evoluzione.
Fonte: The Hackers News
