O Google Threat Intelligence Group (GTIG) divulgou um novo e preocupante relatório sobre as operações cibernéticas do grupo russo COLDRIVER, revelando três novas famílias de malware: NOROBOT, YESROBOT e MAYBEROBOT.
De acordo com a equipe do Google, esses malwares vêm passando por rápidas atualizações e aprimoramentos desde maio de 2025, refletindo um aumento expressivo no ritmo e na sofisticação das operações do grupo, conhecido por atuar sob patrocínio estatal.
Desenvolvimento acelerado e adaptação constante
O GTIG destacou que o COLDRIVER tem demonstrado uma notável capacidade de reformular e refinar seu arsenal em poucos dias. Em um caso recente, o grupo levou apenas cinco dias para criar novas variantes após a divulgação pública de detalhes sobre seu malware anterior, o LOSTKEYS — uma agilidade que mostra o empenho em driblar mecanismos de detecção.
As novas famílias de malware formam uma cadeia de infecção interligada, conforme detalhou o pesquisador do GTIG Wesley Shields. Diferente de campanhas anteriores, que miravam o roubo de credenciais de figuras políticas e ONGs, a nova onda de ataques apresenta táticas mais complexas e enganosas.
Nova técnica de ataque: iscas ClickFix
Os cibercriminosos passaram a utilizar iscas do tipo ClickFix, que induzem as vítimas a executar comandos maliciosos do PowerShell disfarçados como verificações de CAPTCHA no Windows.
Essa tática permite que o usuário, acreditando estar confirmando sua identidade, instale o malware sem perceber.
A evolução da cadeia de infecção
O COLDRIVER migrou de técnicas usadas em ataques anteriores, que instalavam o LOSTKEYS, para uma estrutura mais avançada baseada na nova família ROBOT.
A infecção começa com um arquivo HTML malicioso, apelidado de COLDCOPY, responsável por instalar a DLL NOROBOT — executada via rundll32.exe. Essa, por sua vez, instala o backdoor YESROBOT, que rapidamente foi substituído pelo mais potente MAYBEROBOT.
O YESROBOT possuía funções básicas, como baixar e executar arquivos, e foi observado em poucos ataques. Já o MAYBEROBOT representa um salto técnico, com capacidade de executar comandos via cmd.exe e PowerShell, além de baixar cargas adicionais pela internet.
Segundo o Google, essas novas ferramentas são utilizadas exclusivamente contra alvos de alto valor, com o objetivo de coletar informações sensíveis de sistemas já comprometidos.
Conexão com incidentes internacionais
A descoberta coincide com uma investigação do Ministério Público da Holanda (OM), que prendeu três jovens de 17 anos suspeitos de colaborar com um governo estrangeiro. Um deles estaria ligado a hackers russos e teria coordenado o mapeamento de redes Wi-Fi em Haia para fins de espionagem digital — informações que podem ter sido vendidas ao grupo COLDRIVER.
Uma ameaça em constante evolução
“O desenvolvimento contínuo dessas ferramentas mostra o esforço do COLDRIVER em escapar dos sistemas de detecção e manter operações de inteligência ativa contra alvos estratégicos”, concluiu Wesley Shields.
A rápida evolução dessas famílias de malware reforça a importância de políticas rigorosas de cibersegurança e monitoramento proativo em ambientes corporativos e governamentais.
