Un nuevo malware atribuido al clase de hackers vinculado a Rusia conocido como CONDUCTOR DE FRÍO ha experimentado numerosas iteraciones de exposición desde mayo de 2025, lo que sugiere un anciano «ritmo de operaciones» por parte del actor de amenazas.
Los hallazgos provienen de Google Threat Intelligence Group (GTIG), que dijo que el equipo de piratería patrocinado por el estado ha refinado y reequipado rápidamente su conjunto de malware tan pronto como cinco días luego de la publicación de su malware LOSTKEYS aproximadamente al mismo tiempo.
Si perfectamente actualmente no se sabe cuánto tiempo llevan en exposición las nuevas familias de malware, el equipo de inteligencia de amenazas del gigantesco tecnológico dijo que no ha observado ni una sola instancia de LOSTKEYS desde su divulgación.
El nuevo malware, con nombre en código NOROBOT, YESROBOT y MAYBEROBOT, es «una colección de familias de malware relacionadas conectadas a través de una esclavitud de entrega», dijo el investigador de GTIG Wesley Shields en un descomposición del lunes.
Las últimas oleadas de ataques son una especie de desviación del modus operandi pintoresco de COLDRIVER, que implica atacar a personas de stop perfil en ONG, asesores políticos y disidentes para robar credenciales. Por el contrario, la nueva actividad giraba en torno a rendir señuelos estilo ClickFix para engañar a los usuarios para que ejecutaran comandos maliciosos de PowerShell a través del cuadro de diálogo Ejecutar de Windows como parte de un mensaje de demostración CAPTCHA fariseo.
Si perfectamente los ataques detectados en enero, marzo y abril de 2025 llevaron a la implementación de un malware de robo de información conocido como LOSTKEYS, las intrusiones posteriores allanaron el camino para la comunidad de malware «ROBOT». Vale la pena señalar que Zscaler ThreatLabz rastrea las familias de malware NOROBOT y MAYBEROBOT con los nombres BAITSWITCH y SIMPLEFIX, respectivamente.
La nueva esclavitud de infección comienza con un señuelo HTML ClickFix denominado COLDCOPY que está diseñado para eliminar una DLL citación NOROBOT, que luego se ejecuta a través de rundll32.exe para eliminar el malware de la ulterior etapa. Se dice que las versiones iniciales de este ataque distribuyeron una puerta trasera de Python conocida como YESROBOT, ayer de que los actores de la amenaza cambiaran a un implante de Powershell llamado MAYBEROBOT.
YESROBOT utiliza HTTPS para recuperar comandos de un servidor de comando y control (C2) codificado. Una puerta trasera mínima que admite la capacidad de descargar y ejecutar archivos y recuperar documentos de interés. Hasta la plazo, solo se han observado dos casos de implementación de YESROBOT, específicamente durante un período de dos semanas a fines de mayo, poco luego de que los detalles de LOSTKEYS se hicieran públicos.
Por el contrario, se considera que MAYBEROBOT es más flexible y desplegable, y está equipado con funciones para descargar y ejecutar carga útil desde una URL específica, ejecutar comandos usando cmd.exe y ejecutar código PowerShell.
Se cree que los actores de COLDRIVER se apresuraron a implementar YESROBOT como un «mecanismo provisional» probablemente en respuesta a la divulgación pública, ayer de abandonarlo en beneficio de MAYBEROBOT, ya que la primera interpretación de NOROBOT asimismo incluía un paso para descargar una instalación completa de Python 3.8 en el host comprometido, un artefacto «ruidoso» que seguramente levantará sospechas.
Google asimismo señaló que el uso de NOROBOT y MAYBEROBOT probablemente esté reservado para objetivos importantes, que pueden poseer sido ya comprometidos mediante phishing, con el objetivo final de compilar inteligencia adicional de sus dispositivos.
«NOROBOT y su esclavitud de infección antedicho han estado sujetos a una cambio constante, inicialmente simplificada para aumentar las posibilidades de implementación exitosa, ayer de reintroducir la complejidad al dividir las claves criptográficas», dijo Shields. «Este exposición constante resalta los esfuerzos del clase por esquivar los sistemas de detección de su mecanismo de entrega para la sumario continua de inteligencia contra objetivos de stop valía».
La revelación se produce cuando el Empleo Sabido de los Países Bajos, conocido como Openbaar Ministerie (OM), anunció que tres hombres de 17 primaveras son sospechosos de prestar servicios a un gobierno extranjero, y uno de ellos presuntamente estaba en contacto con un clase de hackers afiliado al gobierno ruso.
«Este sospechoso asimismo dio a los otros dos instrucciones para mapear redes Wi-Fi en múltiples fechas en La Haya», dijo OM. «La información recopilada ha sido compartida con el cliente por el ex sospechoso a cambio de una tarifa y puede utilizarse para espionaje digital y ciberataques».
Dos de los sospechosos fueron detenidos el 22 de septiembre de 2025, mientras que el tercer sospechoso, que asimismo fue entrevistado por las autoridades, permaneció bajo arresto domiciliario conveniente a su «papel prohibido» en el caso.
«Aún no hay indicios de que se haya ejercido presión sobre el sospechoso que estaba en contacto con el clase de hackers afiliado al gobierno ruso», añadió el organismo oficial holandés.
