Um novo malware atribuído ao grupo de hackers ligado à Rússia, conhecido como COLDRIVER, passou por diversas iterações de desenvolvimento desde maio de 2025, indicando uma intensificação no ritmo das operações dessa ameaça.
A revelação é do Google Threat Intelligence Group (GTIG), que informou que o grupo patrocinado pelo Estado acelerou o aprimoramento e a reformulação de seu arsenal de malware apenas cinco dias após a divulgação do malware LOSTKEYS, ocorrida aproximadamente no mesmo período.
Embora ainda não se saiba por quanto tempo as novas famílias de malware estiveram em desenvolvimento, a equipe de inteligência de ameaças do Google destacou que, desde a divulgação do LOSTKEYS, nenhuma instância ativa da ameaça foi identificada.
Batizadas de NOROBOT, YESROBOT e MAYBEROBOT, essas novas variantes formam “um conjunto de famílias de malware relacionadas por meio de uma cadeia de entrega”, explica Wesley Shields, pesquisador do GTIG, em análise publicada na última segunda-feira.
As recentes ondas de ataques apresentam uma mudança no modus operandi típico do COLDRIVER, que antes focava em indivíduos de alto perfil em ONGs, consultores políticos e dissidentes, com o objetivo de roubar credenciais.
Agora, os ataques usam iscas no estilo ClickFix para induzir usuários a executar comandos PowerShell maliciosos via o diálogo “Executar” do Windows, sob o pretexto de uma falsa verificação CAPTCHA.
Enquanto os ataques detectados entre janeiro e abril de 2025 resultaram na instalação do malware de roubo de informações LOSTKEYS, as intrusões subsequentes abriram caminho para a família “ROBOT” de malwares.
É importante destacar que as famílias NOROBOT e MAYBEROBOT são monitoradas pela Zscaler ThreatLabz sob os codinomes BAITSWITCH e SIMPLEFIX, respectivamente.
A cadeia de infecção começa com uma isca HTML ClickFix chamada COLDCOPY, projetada para baixar uma DLL chamada NOROBOT.
Em seguida, esse arquivo é executado via rundll32.exe, dando início à próxima etapa do ataque.
As primeiras versões desse ataque distribuíam um backdoor em Python denominado YESROBOT, antes que os agentes de ameaça migrassem para o implante PowerShell chamado MAYBEROBOT.
O YESROBOT utiliza conexões HTTPS para se comunicar com um servidor hard-coded de comando e controle (C2).
Trata-se de um backdoor simples, com funcionalidades limitadas a baixar e executar arquivos, além de coletar documentos de interesse.
Foram observadas apenas duas implantações do YESROBOT, ambas em um intervalo de duas semanas no fim de maio, logo após a divulgação pública do LOSTKEYS.
Por outro lado, o MAYBEROBOT é considerado mais flexível e extensível, equipado com recursos para baixar e executar payloads a partir de URLs especificadas, rodar comandos via cmd.exe e executar código PowerShell.
Acredita-se que o grupo COLDRIVER tenha lançado o YESROBOT como uma “solução temporária”, provavelmente em resposta à divulgação pública, para logo depois substituí-lo pelo MAYBEROBOT.
Isso porque a primeira versão do NOROBOT incluía a instalação completa do Python 3.8 na máquina comprometida — uma característica “barulhenta” que poderia facilmente levantar suspeitas.
O Google também destacou que o uso do NOROBOT e do MAYBEROBOT provavelmente é reservado para alvos de alto valor, que possivelmente já foram comprometidos por ataques de phishing, com o objetivo final de coletar mais informações dessas máquinas.
“NOROBOT e sua cadeia de infecção passaram por uma evolução constante — inicialmente simplificados para aumentar as chances de implantação bem-sucedida, e depois reintroduzindo complexidade ao dividir as chaves criptográficas”, comenta Shields.
“Esse desenvolvimento contínuo evidencia os esforços do grupo para driblar sistemas de detecção e manter a coleta de inteligência contra alvos de alto valor.”
A divulgação ocorre paralelamente a um anúncio do Openbaar Ministerie (OM), Ministério Público da Holanda, informando que três jovens de 17 anos são suspeitos de prestar serviços a um governo estrangeiro, sendo que um deles teria tido contato com um grupo hacker afiliado ao governo russo.
“Esse suspeito também deu instruções aos outros dois para mapear redes Wi-Fi em diversas datas na cidade de Haia”, afirmou o OM.
“As informações coletadas foram compartilhadas com o cliente pelo ex-suspeito mediante pagamento, podendo ser usadas para espionagem digital e ciberataques.”
Dois dos suspeitos foram detidos em 22 de setembro de 2025, enquanto o terceiro, que também foi interrogado, permanece em prisão domiciliar devido ao papel considerado “limitado” no caso.
“Até o momento, não há evidências de que tenha sido exercida pressão sobre o suspeito que manteve contato com o grupo hacker ligado ao governo russo”, acrescentou o órgão holandês.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...