O Grupo de Inteligência de Ameaças do Google (GTIG) revelou uma nova e acelerada campanha de desenvolvimento de malwares atribuída ao grupo russo COLDRIVER, conhecido por realizar ataques cibernéticos patrocinados pelo Estado. A descoberta, divulgada nesta segunda-feira (20), aponta para três novas variantes: NOROBOT, YESROBOT e MAYBEROBOT.
Segundo o Google, essas ameaças vêm passando por “múltiplas iterações” desde maio de 2025, demonstrando um avanço técnico rápido e coordenado. As versões compartilham cadeias de distribuição semelhantes, indicando uma operação estruturada e em expansão.
“Está claro que eles investiram esforços significativos no desenvolvimento dessas ferramentas para reequipar e implantar seus malwares em alvos específicos”, afirmou o GTIG em nota.
O COLDRIVER, também conhecido como UNC4057, Star Blizzard ou Callisto, tradicionalmente usa campanhas de phishing para roubar dados confidenciais de consultores políticos, dissidentes e membros de ONGs. Agora, a organização parece ampliar sua capacidade ofensiva, mirando inclusive vítimas já comprometidas em ataques anteriores.
Como ocorre a infecção
A principal porta de entrada identificada é um anúncio falso chamado ClickFix, disfarçado sob o nome COLDCOPY. Ao clicar, o usuário faz o download do malware NOROBOT, executado através do processo legítimo rundll32.exe — o que ajuda a disfarçar a atividade maliciosa.
Esse primeiro estágio aciona o backdoor responsável por instalar os próximos módulos do ataque:
-
YESROBOT, nas versões iniciais, era responsável por permitir o controle remoto do sistema;
-
Nas versões mais recentes, foi substituído pelo MAYBEROBOT, uma versão mais robusta capaz de baixar arquivos, executar comandos via CMD e rodar scripts no PowerShell diretamente.
As ferramentas também são acompanhadas pela empresa de cibersegurança Zscaler ThreatLabz, que as identifica sob os nomes BAITSWITCH (NOROBOT) e SIMPLESFIX (MAYBEROBOT).
Expansão coordenada e resposta do Google
De acordo com o GTIG, o COLDRIVER parece estar em uma nova fase de operação, com desenvolvimento contínuo e alto nível de sofisticação. Essa evolução coincide com a descoberta, em maio, do malware LOSTKEYS, reforçando a tese de que o grupo está diversificando suas armas digitais.
O Google informou que todos os sites, domínios e arquivos associados aos ataques foram bloqueados no Safe Browsing, e potenciais vítimas foram notificadas.
A gigante de tecnologia segue monitorando as movimentações do grupo e alerta que a agilidade de adaptação do COLDRIVER representa um desafio crescente para a segurança global — especialmente diante da combinação de técnicas de phishing com o uso de malwares modulares e altamente escaláveis.
