São Paulo, 14 out. 2025 – O Google Threat Intelligence Group (GTIG) identificou três novos conjuntos de código malicioso – batizados de NOROBOT, YESROBOT e MAYBEROBOT – atribuídos ao grupo de hackers COLDRIVER, ligado ao governo russo. Segundo a equipe de segurança, as amostras vêm sendo aperfeiçoadas continuamente desde maio de 2025, indicando ritmo de operação mais intenso da quadrilha.
Evolução após o LOSTKEYS
O GTIG afirma não ter observado novos casos do malware LOSTKEYS, divulgado no início do ano. Apenas cinco dias depois da publicação desse artefato, os invasores já haviam revisado sua linha de ataque e apresentado variantes inéditas. “Trata-se de uma cadeia de entrega interligada”, explicou o pesquisador Wesley Shields em relatório divulgado nesta segunda-feira.
Novo método de infecção
Ao contrário da prática usual de roubo de credenciais de perfis de ONGs, conselheiros políticos e dissidentes, o COLDRIVER passou a usar armadilhas do tipo ClickFix. A isca, disfarçada de verificação CAPTCHA, induz a vítima a executar comandos PowerShell pela janela “Executar” do Windows.
Detalhes da cadeia maliciosa
A campanha começa com um arquivo HTML apelidado de COLDCOPY, responsável por instalar uma DLL (NOROBOT) que, por sua vez, aciona rundll32.exe para baixar a próxima etapa do ataque. As primeiras versões carregavam um backdoor em Python (YESROBOT); versões mais recentes adotaram o implante em PowerShell (MAYBEROBOT).
YESROBOT mantém comunicação HTTPS com um servidor de comando e controle fixo e oferece funções básicas de download, execução de arquivos e coleta de documentos. Apenas duas ocorrências desse backdoor foram registradas, ambas no fim de maio, logo após a exposição pública do LOSTKEYS.
Já o MAYBEROBOT é considerado mais versátil, capaz de baixar e executar cargas adicionais, rodar comandos via cmd.exe e executar trechos de PowerShell. O Google acredita que o YESROBOT foi um recurso temporário criado às pressas para contornar a revelação do LOSTKEYS, sendo depois substituído pelo MAYBEROBOT. As primeiras edições do NOROBOT ainda incluíam a instalação completa do Python 3.8, elemento considerado “barulhento” por facilitar a detecção.
Imagem: Internet
Alvos de alto valor
De acordo com o GTIG, NOROBOT e MAYBEROBOT devem ser reservados a vítimas de maior importância, possivelmente já comprometidas por campanhas de phishing, com o objetivo de ampliar a coleta de dados sensíveis. “O NOROBOT e sua cadeia de infecção vêm passando por ajustes constantes: primeiro simplificados para aumentar a taxa de sucesso e, depois, tornados mais complexos por meio da divisão de chaves criptográficas”, destacou Shields.
Investigações na Holanda
No mesmo contexto, o Ministério Público dos Países Baixos (Openbaar Ministerie) anunciou suspeitas contra três jovens de 17 anos por prestar serviços a um governo estrangeiro. Um deles teria mantido contato com um grupo de hackers ligado à Rússia e orientado os outros dois a mapear redes Wi-Fi em Haia em diversas datas. A informação teria sido repassada ao contratante mediante pagamento e poderia ser usada para espionagem digital e ciberataques.
Dois suspeitos foram presos em 22 de setembro de 2025. O terceiro, apontado como tendo participação limitada, permanece em prisão domiciliar. Segundo o órgão, não há indícios de coação sobre o investigado que manteve contato direto com os hackers.
Com informações de The Hacker News
