(https://i.postimg.cc/T3SNLJ7d/Malware-1.png) (https://postimg.cc/pmfJ3zM4)
El grupo de hackers Star Blizzard, respaldado por el estado ruso, ha intensificado sus operaciones con nuevas familias de malware en constante evolución (NoRobot, MaybeRobot), implementadas en complejas cadenas de distribución que comienzan con ataques de ingeniería social de ClickFix.
También conocido como ColdRiver, UNC4057 y Callisto, el grupo de amenazas Star Blizzard abandonó el malware LostKeys menos de una semana después de que los investigadores publicaran su análisis y utilizó las herramientas maliciosas de *Robot de forma más agresiva que en ninguna de sus campañas anteriores.
En un informe de mayo, el Grupo de Inteligencia de Amenazas de Google (GTIG) afirmó haber observado el uso del malware LostKeys en ataques contra gobiernos occidentales, periodistas, centros de investigación y organizaciones no gubernamentales.
El malware se utilizaba con fines de espionaje, y sus capacidades incluían la exfiltración de datos basada en una lista de extensiones y directorios codificada.
Tras revelar públicamente el malware LostKeys, los investigadores de GTIG afirman que ColdRiver lo abandonó por completo y comenzó a implementar nuevas herramientas maliciosas, identificadas como NOROBOT, YESROBOT y MAYBEROBOT, en operaciones tan solo cinco días después.
Según GTIG, la reestructuración comenzó con NOROBOT, una DLL maliciosa distribuida mediante ataques "ClickFix" que incluían páginas CAPTCHA falsas que engañaban al objetivo para que la ejecutara mediante rundll32 bajo la apariencia de un proceso de verificación.
Los piratas informáticos intentan engañar al objetivo para que realice un desafío captcha del tipo "No soy un robot" para demostrar que es humano ejecutando un comando que lanza el malware NOROBOt.
Página ClickFix utilizada para entregar NOROBOT
(https://www.bleepstatic.com/images/news/u/1220909/2025/October/clickfix(1).jpg)
Investigadores de la empresa de seguridad en la nube Zscaler analizaron NOROBOT en septiembre y lo denominaron BAITSWITCH, junto con su carga útil, una puerta trasera a la que llamaron SIMPLEFIX.
Google afirma que NOROBOT ha estado en constante desarrollo desde mayo hasta septiembre.
NOROBOT obtiene persistencia mediante modificaciones del registro y tareas programadas, e inicialmente recuperó una instalación completa de Python 3.8 para Windows como preparación para la puerta trasera YESROBOT basada en Python.
Sin embargo, GTIG señala que el uso de YESROBOT fue breve, probablemente porque la instalación de Python era un artefacto obvio que llamaría la atención, ya que ColdRiver lo abandonó por otra puerta trasera, un script de PowerShell llamado MAYBEROBOT (identificado como SIMPLEFIX por Zscaler).
Desde principios de junio, una versión drásticamente simplificada de NOROBOT comenzó a ofrecer MAYBEROBOT, que admite tres comandos:
Descargar y ejecutar cargas útiles desde una URL específica
Ejecutar comandos a través del símbolo del sistema
Ejecutar bloques arbitrarios de PowerShell
Tras la ejecución, MAYBEROBOT devuelve los resultados a distintas rutas de comando y control (C2), lo que proporciona a Coldriver información sobre el éxito de la operación.
Cadena de ataque actual de Coldriver
(https://www.bleepstatic.com/images/news/u/1220909/2025/October/coldriver.jpg)
Los analistas de Google comentan que el desarrollo de MAYBEROBOT parece haberse estabilizado, y que los actores de amenazas ahora se centran más en perfeccionar NOROBOT para que sea más sigiloso y eficaz.
Los investigadores observaron un cambio de un enfoque complejo a uno más simple, y luego de nuevo a una cadena de entrega compleja que divide las claves criptográficas en múltiples componentes. El descifrado de la carga útil final dependía de la correcta combinación de las piezas, afirman los investigadores.
"Esto probablemente se hizo para dificultar la reconstrucción de la cadena de infección, ya que si faltaba uno de los componentes descargados, la carga útil final no se descifraría correctamente", señala GTIG en el informe.
Se han observado ataques de ColdRiver que entregan NOROBOT y las cargas útiles subsiguientes a objetivos de interés entre junio y septiembre.
Las operaciones de ColdRiver se han atribuido al servicio de inteligencia ruso (FSB). El grupo lleva involucrado en actividades de ciberespionaje desde al menos 2017. A pesar de los esfuerzos por obstaculizar sus operaciones mediante interrupciones de infraestructura, sanciones y la exposición de sus tácticas, ColdRiver sigue siendo una amenaza activa y en constante evolución.
Normalmente, este grupo de amenazas implementa malware en ataques de phishing, y los investigadores aún no han descubierto el motivo por el que los hackers recurren a los ataques ClickFix.
Una posible explicación es que ColdRiver ahora utiliza las familias de malware NOROBOT y MAYBEROBOT en objetivos previamente comprometidos mediante phishing y que ya han robado correos electrónicos y contactos. Redirigirlos podría tener como objetivo "obtener información adicional directamente de sus dispositivos", según los investigadores.
El informe de Google incluye indicadores de compromiso (IoC) y reglas YARA para ayudar a los defensores a detectar ataques de malware Robot:
https://cloud.google.com/blog/topics/threat-intelligence/new-malware-russia-coldriver#:~:text=and%20rule%20pack.-,Indicators%20of%20Compromise%20(IOCs),-The%20following%20indicators
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/russian-hackers-evolve-malware-pushed-in-i-am-not-a-robot-clickfix-attacks/