谷歌发现COLDRIVER黑客组织创建的三个新型俄罗斯恶意软件家族

谷歌威胁情报小组（GTIG）发现，与俄罗斯有关的黑客组织COLDRIVER自2025年5月以来开发了三个新型恶意软件家族，这表明该威胁组织的"行动节奏"有所加快。

这些新型恶意软件被命名为NOROBOT、YESROBOT和MAYBEROBOT。GTIG研究员Wesley Shields在周一的分析中表示，这些恶意软件是"通过交付链连接的相关恶意软件家族集合"。

攻击方式演变

最新攻击浪潮与COLDRIVER的典型作案手法有所不同。该组织通常以非政府组织知名人士、政策顾问和异见人士为目标进行凭证窃取，而新活动则围绕利用ClickFix式诱饵，通过虚假验证码提示诱使用户在Windows运行对话框中执行恶意PowerShell命令。

虽然2025年1月、3月和4月发现的攻击导致了名为LOSTKEYS的信息窃取恶意软件的部署，但后续入侵为"ROBOT"恶意软件家族铺平了道路。值得注意的是，NOROBOT和MAYBEROBOT恶意软件家族分别被Zscaler ThreatLabz追踪为BAITSWITCH和SIMPLEFIX。

感染链分析

新的感染链从名为COLDCOPY的HTML ClickFix诱饵开始，该诱饵旨在投放名为NOROBOT的DLL文件，然后通过rundll32.exe执行以投放下一阶段恶意软件。据称，此攻击的初始版本分发了一个名为YESROBOT的Python后门，之后威胁参与者转向使用名为MAYBEROBOT的PowerShell植入程序。

YESROBOT使用HTTPS从硬编码的命令与控制（C2）服务器检索命令。作为一个最小化后门，它支持下载和执行文件以及检索感兴趣文档的功能。迄今为止仅观察到两个YESROBOT部署实例，具体是在5月下旬LOSTKEYS细节公开后的两周内。

相比之下，MAYBEROBOT被评估为更加灵活和可扩展，具备从指定URL下载和运行有效负载、使用cmd.exe运行命令以及运行PowerShell代码的功能。

技术演进与目标选择

据信，COLDRIVER行动者匆忙部署YESROBOT作为"权宜机制"，可能是为了应对公开披露，随后放弃它而转向MAYBEROBOT。NOROBOT的最早版本还包括在受感染主机上下载完整Python 3.8安装程序的步骤——这是一个必然会引起怀疑的"嘈杂"痕迹。

谷歌还指出，NOROBOT和MAYBEROBOT的使用可能仅限于重要目标，这些目标可能已通过网络钓鱼受到入侵，最终目标是从其设备收集额外情报。

Shields表示：“NOROBOT及其前面的感染链一直在不断演变——最初进行了简化以增加成功部署的机会，然后通过拆分加密密钥重新引入复杂性。这种持续开发突显了该组织努力规避检测系统，以维持针对高价值目标的持续情报收集。”