Un nuevo malware atribuido al grupo de hackers vinculado a Rusia conocido como CONDUCTOR DE FRÍO ha experimentado numerosas iteraciones de desarrollo desde mayo de 2025, lo que sugiere un mayor «ritmo de operaciones» por parte del actor de amenazas.
El recomendaciones provienen de Google Threat Intelligence Group (GTIG), que dijo que el equipo de piratería patrocinado por el estado ha refinado y reequipado rápidamente su arsenal de malware apenas cinco días después de la publicación de su LLAVES PERDIDAS malware casi al mismo tiempo.
Si bien actualmente no se sabe cuánto tiempo llevan en desarrollo las nuevas familias de malware, el equipo de inteligencia de amenazas del gigante tecnológico dijo que no ha observado ni una sola instancia de LOSTKEYS desde su divulgación.
El nuevo malware, con nombre en código NOROBOT, YESROBOT y MAYBEROBOT, es «una colección de familias de malware relacionadas conectadas a través de una cadena de entrega», dijo el investigador de GTIG Wesley Shields en un análisis del lunes.
Las últimas oleadas de ataques son una especie de desviación del modus operandi típico de COLDRIVER, que implica atacar a personas de alto perfil en ONG, asesores políticos y disidentes para robar credenciales. Por el contrario, la nueva actividad giraba en torno a aprovechar señuelos estilo ClickFix para engañar a los usuarios para que ejecutaran comandos maliciosos de PowerShell a través del cuadro de diálogo Ejecutar de Windows como parte de un mensaje de verificación CAPTCHA falso.
Si bien los ataques detectados en enero, marzo y abril de 2025 llevaron a la implementación de un malware de robo de información conocido como LOSTKEYS, las intrusiones posteriores allanaron el camino para la familia de malware «ROBOT». Cabe señalar que Zscaler ThreatLabz rastrea las familias de malware NOROBOT y MAYBEROBOT con los nombres BAITSWITCH y SIMPLEFIXrespectivamente.
La nueva cadena de infección comienza con un señuelo HTML ClickFix denominado COPIA EN FRÍO que está diseñado para eliminar una DLL llamada NOROBOTque luego se ejecuta a través de rundll32.exe para eliminar el malware de la siguiente etapa. Se dice que las versiones iniciales de este ataque distribuyeron una puerta trasera de Python conocida como SÍROBOTantes de que los actores de amenazas cambien a un implante Powershell llamado MAYBEROBOT.
YESROBOT utiliza HTTPS para recuperar comandos de un servidor de comando y control (C2) codificado. Una puerta trasera mínima que admite la capacidad de descargar y ejecutar archivos y recuperar documentos de interés. Hasta la fecha, solo se han observado dos casos de implementación de YESROBOT, específicamente durante un período de dos semanas a fines de mayo, poco después de que los detalles de LOSTKEYS se hicieran públicos.
Por el contrario, se considera que MAYBEROBOT es más flexible y extensible, y está equipado con funciones para descargar y ejecutar carga útil desde una URL específica, ejecutar comandos usando cmd.exe y ejecutar código PowerShell.
Se cree que los actores de COLDRIVER se apresuraron a implementar YESROBOT como un «mecanismo provisional» probablemente en respuesta a la divulgación pública, antes de abandonarlo en favor de MAYBEROBOT, ya que la primera versión de NOROBOT también incluía un paso para descargar una instalación completa de Python 3.8 en el host comprometido, un artefacto «ruidoso» que seguramente levantará sospechas.
Google también señaló que el uso de NOROBOT y MAYBEROBOT probablemente esté reservado para objetivos importantes, que pueden haber sido ya comprometidos mediante phishing, con el objetivo final de recopilar inteligencia adicional de sus dispositivos.
«NOROBOT y su cadena de infección anterior han estado sujetos a una evolución constante, inicialmente simplificada para aumentar las posibilidades de implementación exitosa, antes de reintroducir la complejidad al dividir las claves criptográficas», dijo Shields. «Este desarrollo constante resalta los esfuerzos del grupo por evadir los sistemas de detección de su mecanismo de entrega para la recopilación continua de inteligencia contra objetivos de alto valor».
La revelación se produce cuando el Ministerio Público de los Países Bajos, conocido como Openbaar Ministerie (OM), anunció que tres hombres de 17 años son sospechosos de prestar servicios a un gobierno extranjero, y uno de ellos presuntamente estaba en contacto con un grupo de hackers afiliado al gobierno ruso.
«Este sospechoso también dio a los otros dos instrucciones para mapear redes Wi-Fi en varias fechas en La Haya», OM dicho. «La información recopilada ha sido compartida con el cliente por el ex sospechoso a cambio de una tarifa y puede utilizarse para espionaje digital y ciberataques».
Dos de los sospechosos fueron detenidos el 22 de septiembre de 2025, mientras que el tercer sospechoso, que también fue entrevistado por las autoridades, permaneció bajo arresto domiciliario debido a su «papel limitado» en el caso.
«Aún no hay indicios de que se haya ejercido presión sobre el sospechoso que estaba en contacto con el grupo de hackers afiliado al gobierno ruso», añadió el organismo gubernamental holandés.
Fuente