Un nuevo malware atribuido al montón de hackers vinculado a Rusia conocido como CONDUCTOR DE FRÍO ha experimentado numerosas iteraciones de avance desde mayo de 2025, lo que sugiere un anciano “ritmo de operaciones” por parte del actor de amenazas.
Los hallazgos provienen de Google Threat Intelligence Group (GTIG), que dijo que el equipo de piratería patrocinado por el estado ha refinado y reequipado rápidamente su cantera de malware escasamente cinco días posteriormente de la publicación de su malware LOSTKEYS aproximadamente al mismo tiempo.
Si correctamente actualmente no se sabe cuánto tiempo llevan en avance las nuevas familias de malware, el equipo de inteligencia de amenazas del superhombre tecnológico dijo que no ha observado ni una sola instancia de LOSTKEYS desde su divulgación.
El nuevo malware, con nombre en código NOROBOT, YESROBOT y MAYBEROBOT, es “una colección de familias de malware relacionadas conectadas a través de una condena de entrega”, dijo el investigador de GTIG Wesley Shields en un disección del lunes.
Las últimas oleadas de ataques son una especie de desviación del modus operandi pintoresco de COLDRIVER, que implica atacar a personas de detención perfil en ONG, asesores políticos y disidentes para robar credenciales. Por el contrario, la nueva actividad giraba en torno a beneficiarse señuelos estilo ClickFix para engañar a los usuarios para que ejecutaran comandos maliciosos de PowerShell a través del cuadro de diálogo Ejecutar de Windows como parte de un mensaje de demostración CAPTCHA simulado.
Si correctamente los ataques detectados en enero, marzo y abril de 2025 llevaron a la implementación de un malware de robo de información conocido como LOSTKEYS, las intrusiones posteriores allanaron el camino para la tribu de malware “ROBOT”. Vale la pena señalar que Zscaler ThreatLabz rastrea las familias de malware NOROBOT y MAYBEROBOT con los nombres BAITSWITCH y SIMPLEFIX, respectivamente.
La nueva condena de infección comienza con un señuelo HTML ClickFix denominado COLDCOPY que está diseñado para eliminar una DLL señal NOROBOT, que luego se ejecuta a través de rundll32.exe para eliminar el malware de la ulterior etapa. Se dice que las versiones iniciales de este ataque distribuyeron una puerta trasera de Python conocida como YESROBOT, antiguamente de que los actores de la amenaza cambiaran a un implante de Powershell llamado MAYBEROBOT.
YESROBOT utiliza HTTPS para recuperar comandos de un servidor de comando y control (C2) codificado. Una puerta trasera mínima que admite la capacidad de descargar y ejecutar archivos y recuperar documentos de interés. Hasta la plazo, solo se han observado dos casos de implementación de YESROBOT, específicamente durante un período de dos semanas a fines de mayo, poco posteriormente de que los detalles de LOSTKEYS se hicieran públicos.
Por el contrario, se considera que MAYBEROBOT es más flexible y desplegable, y está equipado con funciones para descargar y ejecutar carga útil desde una URL específica, ejecutar comandos usando cmd.exe y ejecutar código PowerShell.
Se cree que los actores de COLDRIVER se apresuraron a implementar YESROBOT como un “mecanismo provisional” probablemente en respuesta a la divulgación pública, antiguamente de abandonarlo en protección de MAYBEROBOT, ya que la primera traducción de NOROBOT además incluía un paso para descargar una instalación completa de Python 3.8 en el host comprometido, un artefacto “ruidoso” que seguramente levantará sospechas.
Google además señaló que el uso de NOROBOT y MAYBEROBOT probablemente esté reservado para objetivos importantes, que pueden acontecer sido ya comprometidos mediante phishing, con el objetivo final de compendiar inteligencia adicional de sus dispositivos.
“NOROBOT y su condena de infección preliminar han estado sujetos a una cambio constante, inicialmente simplificada para aumentar las posibilidades de implementación exitosa, antiguamente de reintroducir la complejidad al dividir las claves criptográficas”, dijo Shields. “Este avance constante resalta los esfuerzos del montón por esquivar los sistemas de detección de su mecanismo de entrega para la resumen continua de inteligencia contra objetivos de detención valía”.
La revelación se produce cuando el Ocupación Notorio de los Países Bajos, conocido como Openbaar Ministerie (OM), anunció que tres hombres de 17 abriles son sospechosos de prestar servicios a un gobierno extranjero, y uno de ellos presuntamente estaba en contacto con un montón de hackers afiliado al gobierno ruso.
“Este sospechoso además dio a los otros dos instrucciones para mapear redes Wi-Fi en múltiples fechas en La Haya”, dijo OM. “La información recopilada ha sido compartida con el cliente por el ex sospechoso a cambio de una tarifa y puede utilizarse para espionaje digital y ciberataques”.
Dos de los sospechosos fueron detenidos el 22 de septiembre de 2025, mientras que el tercer sospechoso, que además fue entrevistado por las autoridades, permaneció bajo arresto domiciliario correcto a su “papel prohibido” en el caso.
“Aún no hay indicios de que se haya ejercido presión sobre el sospechoso que estaba en contacto con el montón de hackers afiliado al gobierno ruso”, añadió el organismo estatal holandés.
