Google revela três novas famílias de malware russo desenvolvidas por hackers do COLDRIVER

O Google Threat Intelligence Group (GTIG) divulgou um alerta detalhado sobre uma significativa escalada nas operações cibernéticas do grupo de hackers conhecido como COLDRIVER. A gigante de tecnologia identificou três novas famílias de malware — codinomes NOROBOT, YESROBOT e MAYBEROBOT — que passaram por um rápido e constante ciclo de desenvolvimento desde maio de 2025, indicando um notável aumento no "ritmo de operações" deste invasor patrocinado pelo Estado.

Segundo o GTIG, a equipe de hackers estatais demonstrou uma capacidade de refinar e reformular seu arsenal de malware em apenas cinco dias após a publicação de detalhes sobre sua criação anterior, o malware LOSTKEYS. Este desenvolvimento acelerado sublinha os esforços do grupo em manter-se à frente dos sistemas de detecção.

As novas famílias de malware são descritas como "uma coleção de famílias de malware relacionadas conectadas por meio de uma cadeia de entrega", conforme a análise do Pesquisador do GTIG Wesley Shields. Curiosamente, a atividade mais recente se afasta do modus operandi típico do COLDRIVER, que historicamente se concentrava no roubo de credenciais de indivíduos de alto perfil em ONGs, consultores políticos e dissidentes.

A nova onda de ataques adota uma abordagem tática distinta, utilizando iscas no estilo ClickFix para induzir os usuários a executar comandos maliciosos do PowerShell por meio da caixa de diálogo "Executar" do Windows, disfarçados como um falso prompt de verificação de CAPTCHA.

Evolução Rápida da Cadeia de Infecção

A transição tecnológica do COLDRIVER é notável. Enquanto ataques observados em janeiro, março e abril de 2025 levavam à implantação do malware ladrão de informações LOSTKEYS, as invasões subsequentes abriram caminho para a nova família "ROBOT".

A nova cadeia de infecção começa com uma isca HTML ClickFix, batizada de COLDCOPY, projetada para instalar uma DLL chamada NOROBOT. Esta, por sua vez, é executada via rundll32.exe para instalar o malware da próxima etapa. Inicialmente, esta etapa distribuía um backdoor Python conhecido como YESROBOT. No entanto, os hackers rapidamente migraram para um implante Powershell mais robusto, denominado MAYBEROBOT.

O YESROBOT revelou-se um backdoor mínimo, limitado a baixar e executar arquivos e recuperar documentos de interesse, e foi observado em apenas duas ocorrências no final de maio, logo após a divulgação do LOSTKEYS. O Google acredita que o COLDRIVER implementou o YESROBOT como um "mecanismo paliativo", abandonando-o rapidamente em favor do MAYBEROBOT, que é avaliado como mais flexível e extensível.

O MAYBEROBOT possui capacidades avançadas para executar comandos usando cmd.exe, executar código do PowerShell e baixar cargas úteis de uma URL especificada.

Acredita-se que o uso do NOROBOT e do MAYBEROBOT esteja reservado para alvos de "alto valor", que já podem ter sido comprometidos por meio de phishing, com o objetivo final de coletar informações adicionais de seus dispositivos.

Conexão com Incidentes Internacionais

A revelação do Google coincide com a recente notícia do Ministério Público da Holanda (Openbaar Ministerie - OM) sobre a detenção de três jovens de 17 anos sob suspeita de prestarem serviços a um governo estrangeiro. Um dos suspeitos estaria em contato direto com um grupo de hackers afiliado ao governo russo e é acusado de instruir os outros dois a mapear redes Wi-Fi em Haia. As informações coletadas teriam sido compartilhadas com o cliente mediante pagamento, podendo ser utilizadas para espionagem digital e ciberataques.

"Esse desenvolvimento constante destaca os esforços do grupo para escapar dos sistemas de detecção com seu mecanismo de entrega para coleta contínua de inteligência contra alvos de alto valor," concluiu o Pesquisador Wesley Shields, sublinhando a ameaça persistente e evolutiva representada pelo COLDRIVER.

Via - THN