谷歌发现由 COLDRIVER 黑客创建的三个新的俄罗斯恶意软件家族

自 2025 年 5 月以来，一款与俄罗斯有关联的黑客组织COLDRIVER开发的新型恶意软件经历了多次开发迭代，这表明该威胁行为者的“行动节奏”有所加快。

谷歌威胁情报小组 (GTIG) 的研究结果显示，这个国家支持的黑客组织在发布LOSTKEYS恶意软件后短短五天内，就迅速改进并重新调整了其恶意软件库。

虽然目前尚不清楚这些新型恶意软件家族已经开发了多久，但这家科技巨头的威胁情报团队表示，自披露以来，他们还没有发现任何 LOSTKEYS 的实例。

GTIG 研究员 Wesley Shields 在周一的一份分析报告中表示，这种代号为 NOROBOT、YESROBOT 和 MAYBEROBOT 的新型恶意软件是“通过传播链连接的一系列相关恶意软件家族的集合”。

最新一波攻击与 COLDRIVER 的典型作案手法有所不同。COLDRIVER 以往的攻击目标是非政府组织中的知名人士、政策顾问和异见人士，目的是窃取他们的凭证。而此次攻击则利用类似 ClickFix 的诱饵，通过伪造的验证码提示，诱骗用户在 Windows 运行对话框中运行恶意 PowerShell 命令。

2025年1月、3月和4月发现的攻击导致了名为LOSTKEYS的信息窃取恶意软件的部署，而随后的入侵则为“ROBOT”系列恶意软件的出现铺平了道路。值得注意的是，Zscaler ThreatLabz分别以BAITSWITCH和SIMPLEFIX的名称追踪NOROBOT和MAYBEROBOT恶意软件家族。

新的感染链始于一个名为COLDCOPY 的HTML ClickFix 诱饵，该诱饵旨在投放一个名为NOROBOT的 DLL 文件，该文件随后通过rundll32.exe执行，从而投放下一阶段的恶意软件。据称，该攻击的早期版本曾传播一个名为YESROBOT 的Python 后门程序，之后攻击者转而使用名为MAYBEROBOT的 PowerShell 植入程序。

YESROBOT 使用 HTTPS 从硬编码的命令与控制 (C2) 服务器获取命令。作为一个最小化的后门程序，它支持下载和执行文件，以及检索感兴趣的文档。迄今为止，仅观察到两起 YESROBOT 部署事件，具体发生在 5 月下旬的两周内，就在 LOSTKEYS 的详细信息公开后不久。

相比之下，MAYBEROBOT 被认为更加灵活且可扩展，它具备从指定 URL 下载和运行有效载荷、使用 cmd.exe 运行命令以及运行 PowerShell 代码等功能。

据信，COLDRIVER 攻击者急于部署 YESROBOT 作为“权宜之计”，可能是因为信息公开后，他们放弃了 YESROBOT，转而使用 MAYBEROBOT，因为 NOROBOT 的最早版本还包含一个步骤，即在受感染的主机上下载完整的 Python 3.8 安装包——这是一个“显眼”的痕迹，必然会引起怀疑。

谷歌还指出，NOROBOT 和 MAYBEROBOT 的使用很可能仅限于重要目标，这些目标可能已经通过网络钓鱼被入侵，其最终目的是从他们的设备中收集更多情报。

希尔兹表示：“NOROBOT及其之前的感染链一直在不断演变——最初为了提高部署成功率而简化，之后又通过拆分加密密钥重新引入复杂性。这种持续发展凸显了该组织为逃避检测系统而做出的努力，以便持续收集针对高价值目标的情报。”

就在荷兰公共检察署（Openbaar Ministerie，简称OM）宣布三名17岁男子涉嫌向外国政府提供服务之际，这一消息被披露。其中一人据称与一个隶属于俄罗斯政府的黑客组织有联系。

OM表示： “这名嫌疑人还指示另外两人在多个日期在海牙绘制Wi-Fi网络地图。收集到的信息已被这名嫌疑人付费提供给客户，这些信息可用于数字间谍活动和网络攻击。”

2025年9月22日，两名嫌疑人被抓获，而第三名嫌疑人也接受了当局的讯问，由于他在该案中“作用有限”，因此被软禁在家。

荷兰政府机构补充说：“目前还没有任何迹象表明，与俄罗斯政府有关联的黑客组织有联系的嫌疑人受到了压力。”