Google ha recentemente scoperto tre nuove famiglie di malware associate al gruppo di hacker russi noto come COLDRIVER, segnalando un’evoluzione significativa nella loro attività di cyber spionaggio. Queste nuove minacce, battezzate NOROBOT, YESROBOT e MAYBEROBOT, sono state individuate grazie al lavoro dell’unità di Threat Intelligence di Google, che ha monitorato l’accelerazione nello sviluppo di queste varianti a partire da maggio 2025.

Le nuove tecniche di attacco di COLDRIVER

COLDRIVER, già noto per operazioni di phishing contro ONG, consulenti politici e dissidenti, ha modificato il proprio approccio. Le ultime campagne non puntano solo al furto di credenziali, ma utilizzano sofisticati stratagemmi ClickFix, convincendo le vittime ad eseguire comandi PowerShell tramite la finestra Esegui di Windows, il tutto camuffato da una finta verifica CAPTCHA. Questa tecnica permette l’esecuzione della catena di infezione che distribuisce i nuovi malware.

Catena di infezione e varianti malware

Il vettore di attacco inizia con un file HTML denominato COLDCOPY, che scarica una DLL chiamata NOROBOT. Quest’ultima viene eseguita tramite rundll32.exe, innescando così l’installazione di ulteriori stadi malevoli. Le prime versioni prevedevano un backdoor Python (YESROBOT), ma successivamente gli attaccanti sono passati a MAYBEROBOT, un impianto PowerShell più evoluto.

Funzionalità e impatti delle varianti

YESROBOT si collega a server di comando e controllo tramite HTTPS, permettendo il download ed esecuzione di file e la raccolta di documenti interessanti. Tuttavia, Google ha rilevato solo due casi di utilizzo di YESROBOT, entrambi concentrati in un breve periodo dopo la divulgazione pubblica di LOSTKEYS, un precedente malware di COLDRIVER. Questo suggerisce che YESROBOT sia stato un tentativo temporaneo, rapidamente abbandonato per soluzioni più sofisticate.

MAYBEROBOT invece si distingue per la sua flessibilità: consente di scaricare ed eseguire payload da URL specifici, lanciare comandi tramite cmd.exe e PowerShell, e quindi assicurare un controllo quasi totale sul sistema compromesso. Secondo Google, l’uso di NOROBOT e MAYBEROBOT sarebbe riservato a obiettivi di alto valore, già compromessi tramite phishing, con lo scopo di ottenere ulteriori informazioni sensibili.

Offuscamento e sofisticazione degli attacchi

Il gruppo COLDRIVER dimostra una costante evoluzione dei propri strumenti, introducendo meccanismi di offuscamento e variazione delle chiavi crittografiche per eludere i sistemi di rilevamento. Questa metodologia conferma la crescente sofisticazione degli attacchi di cyber spionaggio e il ruolo centrale del malware nella raccolta di intelligence contro bersagli specifici.