El Google Threat Intelligence Group (GTIG) identificó tres nuevas familias de malware —NOROBOT, YESROBOT y MAYBEROBOT— desarrolladas por el grupo ruso COLDRIVER, conocido por sus operaciones de ciberespionaje contra objetivos políticos y organizaciones internacionales.

Según el investigador Wesley Shields, estas variantes forman parte de una cadena de distribución común que sustituye al malware previo LOSTKEYS, y reflejan un ritmo de desarrollo acelerado tras su exposición pública.

Las campañas recientes abandonan el phishing tradicional y ahora usan señuelos tipo ClickFix: páginas HTML que muestran falsos CAPTCHA y ejecutan comandos PowerShell maliciosos al ser validados. Este vector instala NOROBOT, que a su vez despliega una segunda carga (YESROBOT o MAYBEROBOT).

• YESROBOT: puerta trasera mínima escrita en Python, usada brevemente tras la caída de LOSTKEYS.
• MAYBEROBOT: versión más estable en PowerShell, capaz de ejecutar comandos, descargar cargas y mantener persistencia.

Google advierte que las nuevas versiones de NOROBOT incorporan técnicas de evasión y cifrado más complejas, lo que demuestra un esfuerzo sostenido de COLDRIVER por mantener acceso y recolección de inteligencia sobre blancos de alto valor.

La revelación coincide con una investigación en Países Bajos, donde tres jóvenes fueron detenidos por colaborar con hackers vinculados a Rusia, mapeando redes Wi-Fi para posibles operaciones de espionaje.

Recomendaciones

• Vigilar ejecuciones anómalas de rundll32.exe y PowerShell.
• Bloquear adjuntos HTML o CAPTCHA falsos.
• Actualizar IOCs relacionados con NOROBOT, YESROBOT y MAYBEROBOT.
• Fortalecer detección de tráfico HTTPS con C2 desconocidos.

thehackernews[.]com