El grupo ruso de amenaza persistente avanzada (APT) conocido como Coldriver se ha atribuido a una nueva ronda de ataques de estilo ClickFix diseñados para ofrecer dos nuevas familias de malware «livianas» rastreadas como Switch y Simplefix.
ZSCALER AMENAYLABZ, que detectado La nueva campaña ClickFix de varias etapas a principios de este mes, describió a Baitswitch como un descargador que finalmente deja a Simplefix, una puerta trasera de PowerShell.
Fríatambién rastreado como Callisto, Star Blizzard y UNC4057, es el apodo asignado a un actor de amenaza vinculada a Rusia que se sabe que se dirige a una amplia gama de sectores desde 2019. Mientras que las ondas de campaña tempranas se observaron utilizando injustos de lanza para dirigir objetivos a las páginas de recolección de credenciales, el grupo ha estado lanzando su arsenal con herramientas personalizadas como Espina y Kilómetros perdidosque subraya su sofisticación técnica.
El uso del adversario de Tactics de ClickFix fue documentado previamente por el Grupo de Inteligencia de Amenazos de Google (GTIG) en mayo de 2025, utilizando sitios falsos que sirven a la verificación de Captcha falsas para engañar a la víctima para que ejecute un comando PowerShell que está diseñado para entregar el script de LostKeys Visual Basic.
«El uso continuo de ClickFix sugiere que es un vector de infección efectivo, incluso si no es novedoso ni técnicamente avanzado», dijeron los investigadores de seguridad de Zscaler Sudeep Singh y Yin Hong Chang en un informe publicado esta semana.
La última cadena de ataque sigue el mismo modus operandi, engañando a los usuarios desprevenidos para que ejecute una DLL maliciosa en el diálogo de Windows Run bajo la apariencia de completar un cheque de captcha. El DLL, Baitswitch, se acerca a un dominio controlado por el atacante («Captchanom[.]superior «) para obtener la puerta trasera simple de Simplefix, mientras que un documento de señuelo alojado en Google Drive se presenta a las víctimas.
También realiza varias solicitudes HTTP al mismo servidor para enviar información del sistema, recibir comandos para establecer persistencia, almacenar cargas útiles cifradas en el registro de Windows, descargar un stager de PowerShell, borrar el comando más reciente ejecutado en el diálogo Ejecutar, borrando efectivamente trazas del ataque de clickfix que provocó la infección.
El Stager de PowerShell descargado posteriormente se extiende a un servidor externo («SouthProvesolutions[.]com «) para descargar SimpleFix, que, a su vez, establece la comunicación con un servidor de comando y control (C2) para ejecutar scripts, comandos y binarios de PowerShell alojados en URL remotas.
Uno de los scripts de PowerShell ejecutados a través de SimpleFix exfiltrata información sobre una lista codificada de tipos de archivos que se encuentran en una lista de directorios preconfigurados. La lista de directorios y extensiones de archivos escaneó las acciones superpuestas con la de LostKeys.
«El Grupo de Apt Coldriver es conocido por atacar a miembros de ONG, defensores de derecho humano, think tanks en las regiones occidentales, así como individuos exiliados y residiendo en Rusia», dijo Zscaler. «El enfoque de esta campaña se alinea estrechamente con su victimología, que se dirige a los miembros de la sociedad civil relacionada con Rusia».
BO Equipo y Bearlyfy Target Russia
El desarrollo se produce cuando Kaspersky dijo que observó una nueva campaña de phishing dirigida a las empresas rusas a principios de septiembre emprendidas por el Equipo de Bo Grupo (también conocido como Black Owl, Hoody Hyena y Lifting Zmiy) utilizando archivos RAR protegidos por contraseña para entregar una nueva versión de Brockendoor reescrito en C# y una versión actualizada de Zeronetkit.
Una puerta trasera de Golang, Zeronetkit, viene equipada con capacidades para admitir el acceso remoto a hosts comprometidos, cargar/descargar archivos, ejecutar comandos usando cmd.exe y crear un túnel TCP/IPV4. Seleccione las versiones más nuevas también incorporan soporte para descargar y ejecutar Shellcode, así como actualizar el intervalo de comunicación con C2 y modificar la lista de servidores C2.
«Zeronetkit no puede persistir de forma independiente en un sistema infectado, por lo que los atacantes usan Brockendoor para copiar la puerta trasera descargada al inicio», el proveedor de ciberseguridad ruso dicho.
También sigue la aparición de un nuevo grupo llamado Bearlyfy que ha utilizado cepas de ransomware como Lockbit 3.0 y Babuk en ataques dirigidos a Rusia, inicialmente atacando a compañías más pequeñas para rescates más pequeños antes de graduarse en empresas más grandes en el país a partir de abril de 2025, según F6. A partir de agosto de 2025, se estima que el grupo ha reclamado al menos 30 víctimas.
En un incidente dirigido a una compañía de consultoría, se ha observado que los actores de amenaza armaban una versión vulnerable de BitRix para el acceso inicial, seguido del uso de la falla de Zerologon para aumentar los privilegios. En otro caso observado en julio, se dice que el acceso inicial fue facilitado a través de una empresa asociada sin nombre.
«En el ataque registrado más reciente, los atacantes exigieron € 80,000 en criptomonedas, mientras que en el primer ataque, el rescate fue de varios miles de dólares», investigadores de F6 dicho. «Debido a las cantidades relativamente bajas de rescate, en promedio, cada quinta víctima compra descifradores de los atacantes».
Se evalúa que Bearlyfy está activo desde enero de 2025, con un análisis más profundo de sus herramientas que descubren que la infraestructura se superpone con un probable grupo de amenazas pro-ucranianas llamado Fantomcoreque tiene un historial de apuntar a empresas rusas y bielorrusas desde 2022. A pesar de estas similitudes, se cree que Bearlyfy es una entidad autónoma.
«Phantomcore implementa ataques complejos de varias etapas típicos de las campañas APT», dijo la compañía. «Bearlyfy, por otro lado, utiliza un modelo diferente: ataques con una preparación mínima y un enfoque específico en lograr un efecto inmediato. El acceso inicial se logra mediante la explotación de servicios externos y aplicaciones vulnerables. El kit de herramientas primario está dirigido a cifrado, destrucción o modificación de datos».
Fuente