El familia ruso de amenaza persistente avanzadilla (APT) conocido como Coldriver se ha atribuido a una nueva ronda de ataques de estilo ClickFix diseñados para ofrecer dos nuevas familias de malware “livianas” rastreadas como Switch y Simplefix.
ZSCALER AMENAYLABZ, que detectó la nueva campaña de Clickfix de varias etapas a principios de este mes, describió a Baitswitch como un descargador que finalmente deja a SimpleFix, una puerta trasera de PowerShell.
COLDRIVER, also tracked as Callisto, Star Blizzard, and UNC4057, is the moniker assigned to a Russia-linked threat actor that’s known to target a wide range of sectors since 2019. While early campaign waves were observed using spear-phishing lures to direct targets to credential harvesting pages, the group has been fleshing out its astillero with custom tools like SPICA and LOSTKEYS, which underscores its technical sofisticación.
El uso del adversario de Tactics de ClickFix fue documentado previamente por el Camarilla de Inteligencia de Amenazos de Google (GTIG) en mayo de 2025, utilizando sitios falsos que sirven a la comprobación de Captcha falsas para engañar a la víctima para que ejecute un comando PowerShell que está diseñado para entregar el script de LostKeys Visual Basic.
“El uso continuo de ClickFix sugiere que es un vector de infección efectivo, incluso si no es novedoso ni técnicamente innovador”, dijeron los investigadores de seguridad de Zscaler Sudeep Singh y Yin Hong Chang en un crónica publicado esta semana.
La última cautiverio de ataque sigue el mismo modus operandi, engañando a los usuarios desprevenidos para que ejecute una DLL maliciosa en el diálogo de Windows Run bajo la apariencia de completar un cheque de captcha. El DLL, Baitswitch, se acerca a un dominio controlado por el atacante (“Captchanom (.) Top”) para obtener la puerta trasera simple de Simplefix, mientras que un documento de señuelo alojado en Google Drive se presenta a las víctimas.
Igualmente realiza varias solicitudes HTTP al mismo servidor para cursar información del sistema, acoger comandos para establecer persistencia, juntar cargas bártulos cifradas en el registro de Windows, descargar un stager de PowerShell, borrar el comando más nuevo ejecutado en el diálogo Ejecutar, borrando efectivamente trazas del ataque de clickfix que provocó la infección.
Luego, el Stager de PowerShell descargado se acerca a un servidor extranjero (“SouthProvesolutions (.) Com”) para descargar SimpleFix, que, a su vez, establece la comunicación con un servidor de comando y control (C2) para ejecutar scripts, comandos y binarios de PowerShell alojados en URL remotas.
Uno de los scripts de PowerShell ejecutados a través de SimpleFix exfiltrata información sobre una cinta codificada de tipos de archivos que se encuentran en una cinta de directorios preconfigurados. La cinta de directorios y extensiones de archivos escaneó las acciones superpuestas con la de LostKeys.
“El Camarilla de Apt Coldriver es conocido por atacar a miembros de ONG, defensores de derecho humano, think tanks en las regiones occidentales, así como individuos exiliados y residiendo en Rusia”, dijo Zscaler. “El enfoque de esta campaña se alinea estrechamente con su victimología, que se dirige a los miembros de la sociedad civil relacionada con Rusia”.
BO Equipo y Bearlyfy Target Russia
El incremento se produce cuando Kaspersky dijo que observó una nueva campaña de phishing dirigida a las compañías rusas a principios de septiembre emprendidas por el familia de equipo BO (asimismo conocido como Black Owl, Hoody Hyena y Levanting Zmiy) utilizando archivos RAR protegidos por contraseña para ofrecer una nueva lectura de Brockendoor reescrito en C# y una lectura actualizada de Zeronetkit.
Una puerta trasera de Golang, Zeronetkit, viene equipada con capacidades para convenir el entrada remoto a hosts comprometidos, cargar/descargar archivos, ejecutar comandos usando cmd.exe y crear un túnel TCP/IPV4. Seleccione las versiones más nuevas asimismo incorporan soporte para descargar y ejecutar Shellcode, así como renovar el intervalo de comunicación con C2 y modificar la cinta de servidores C2.
“Zeronetkit no puede persistir de forma independiente en un sistema infectado, por lo que los atacantes usan Brockendoor para copiar la puerta trasera descargada al inicio”, dijo el proveedor de seguridad cibernética rusa.
Igualmente sigue la aparición de un nuevo familia llamado Bearlyfy que ha utilizado cepas de ransomware como Lockbit 3.0 y Babuk en ataques dirigidos a Rusia, inicialmente atacando a compañías más pequeñas para rescates más pequeños antaño de graduarse en empresas más grandes en el país a partir de abril de 2025, según F6. A partir de agosto de 2025, se estima que el familia ha reclamado al menos 30 víctimas.
En un incidente dirigido a una compañía de consultoría, se ha observado que los actores de amenaza armaban una lectura endeble de BitRix para el entrada auténtico, seguido del uso de la falta de Zerologon para aumentar los privilegios. En otro caso observado en julio, se dice que el entrada auténtico fue facilitado a través de una empresa asociada sin nombre.
“En el ataque registrado más nuevo, los atacantes exigieron € 80,000 en criptomonedas, mientras que en el primer ataque, el rescate fue de varios miles de dólares”, dijeron los investigadores de F6. “Correcto a las cantidades relativamente bajas de rescate, en promedio, cada villa víctima importación descifradores de los atacantes”.
Se evalúa que Bearlyfy está activo desde enero de 2025, con un descomposición más profundo de sus herramientas que descubren que la infraestructura se superpone con un probable familia de amenazas pro-ucranianas llamado Phantomcore, que tiene un historial de apuntar a empresas rusas y bielorrusas desde 2022. A pesar de estas similitudes, Bearlyfy se cree que es una comprensión autónoma.
“Phantomcore implementa ataques complejos de varias etapas típicos de las campañas APT”, dijo la compañía. “Bearlyfy, por otro costado, utiliza un maniquí diferente: ataques con una preparación mínima y un enfoque específico en alcanzar un propósito inmediato. El entrada auténtico se logra mediante la explotación de servicios externos y aplicaciones vulnerables. El kit de herramientas primario está dirigido a oculto, destrucción o modificación de datos”.
