Ciberseguridad 360 | Hackers rusos usan malware en captchas

Un nuevo malware atribuido al grupo de piratas inform�ticos vinculado a Rusia conocido como COLDRIVER ha experimentado numerosas iteraciones de desarrollo desde mayo de 2025, lo que sugiere un mayor "ritmo de operaciones" por parte del actor de amenazas.

Los hallazgos provienen de Google Threat Intelligence Group (GTIG), que dijo que el equipo de piratas inform�ticos patrocinado por el estado ha refinado y redise�ado r�pidamente su arsenal de malware apenas cinco d�as despu�s de la publicaci�n de su malware LOSTKEYS aproximadamente al mismo tiempo.

Si bien actualmente no se sabe cu�nto tiempo han estado en desarrollo las nuevas familias de malware, el equipo de inteligencia de amenazas del gigante tecnol�gico dijo que no ha observado una sola instancia de LOSTKEYS desde la divulgaci�n.

El nuevo malware, cuyo nombre en c�digo es NOROBOT, YESROBOT y MAYBEROBOT, es "una colecci�n de familias de malware relacionadas conectadas a trav�s de una cadena de distribuci�n", dijo el investigador de GTIG Wesley Shields en un an�lisis del lunes.

Las �ltimas oleadas de ataques se alejan del modus operandi habitual de COLDRIVER, que consiste en atacar a personas de alto perfil en ONG, asesores pol�ticos y disidentes para robarles credenciales. En cambio, la nueva actividad se centra en el uso de se�uelos similares a ClickFix para enga�ar a los usuarios y que ejecuten comandos maliciosos de PowerShell a trav�s del cuadro de di�logo Ejecutar de Windows como parte de una solicitud falsa de verificaci�n CAPTCHA.

Si bien los ataques detectados en enero, marzo y abril de 2025 condujeron a la implementaci�n de un malware que roba informaci�n conocido como LOSTKEYS, las intrusiones posteriores allanaron el camino para la familia de malware "ROBOT". Cabe destacar que Zscaler ThreatLabz rastrea las familias de malware NOROBOT y MAYBEROBOT bajo los nombres BAITSWITCH y SIMPLEFIX , respectivamente.

La nueva cadena de infecci�n comienza con un se�uelo HTML ClickFix llamado COLDCOPY , dise�ado para instalar una DLL llamada NOROBOT , que luego se ejecuta mediante rundll32.exe para instalar el malware de siguiente etapa. Se dice que las versiones iniciales de este ataque distribuyeron una puerta trasera de Python conocida como YESROBOT , antes de que los actores de la amenaza cambiaran a un implante de PowerShell llamado MAYBEROBOT .

YESROBOT utiliza HTTPS para recuperar comandos de un servidor de comando y control (C2) codificado. Una puerta trasera m�nima permite descargar y ejecutar archivos, as� como recuperar documentos de inter�s. Hasta la fecha, solo se han observado dos casos de implementaci�n de YESROBOT, concretamente durante un periodo de dos semanas a finales de mayo, poco despu�s de que se hicieran p�blicos los detalles de LOSTKEYS.

Por el contrario, se considera que MAYBEROBOT es m�s flexible y extensible, equipado con funciones para descargar y ejecutar la carga �til desde una URL espec�fica, ejecutar comandos usando cmd.exe y ejecutar c�digo PowerShell.

Se cree que los actores de COLDRIVER se apresuraron a implementar YESROBOT como un "mecanismo provisional", probablemente en respuesta a la divulgaci�n p�blica, antes de abandonarlo en favor de MAYBEROBOT, ya que la primera versi�n de NOROBOT tambi�n inclu�a un paso para descargar una instalaci�n completa de Python 3.8 en el host comprometido: un artefacto "ruidoso" que seguramente levantar� sospechas.

Google tambi�n se�al� que el uso de NOROBOT y MAYBEROBOT probablemente est� reservado para objetivos importantes, que pueden haber sido ya comprometidos a trav�s de phishing, con el objetivo final de recopilar informaci�n adicional de sus dispositivos.

NOROBOT y su cadena de infecci�n anterior han estado en constante evoluci�n: inicialmente se simplificaron para aumentar las posibilidades de un despliegue exitoso, antes de reintroducir la complejidad mediante la divisi�n de claves criptogr�ficas ?dijo Shields?. Este desarrollo constante pone de relieve los esfuerzos del grupo por evadir los sistemas de detecci�n de su mecanismo de entrega para la recopilaci�n continua de inteligencia contra objetivos de alto valor.

La revelaci�n llega cuando el Servicio de Fiscal�a P�blica de los Pa�ses Bajos, conocido como Openbaar Ministerie (OM), anunci� que tres hombres de 17 a�os son sospechosos de proporcionar servicios a un gobierno extranjero, y uno de ellos presuntamente est� en contacto con un grupo de piratas inform�ticos afiliado al gobierno ruso.

"Este sospechoso tambi�n dio instrucciones a los otros dos para que mapearan redes wifi en varias fechas en La Haya", declar� OM . "La informaci�n recopilada fue compartida con el cliente por el exsospechoso a cambio de una tarifa y puede utilizarse para espionaje digital y ciberataques".

Dos de los sospechosos fueron detenidos el 22 de septiembre de 2025, mientras que el tercer sospechoso, que tambi�n fue entrevistado por las autoridades, ha permanecido bajo arresto domiciliario debido a su "papel limitado" en el caso.

"A�n no hay indicios de que se haya ejercido presi�n sobre el sospechoso que estaba en contacto con el grupo de hackers afiliado al gobierno ruso", a�adi� el organismo gubernamental holand�s.

Fuente: TheHackerNews.