Một loại malware mới được cho là của nhóm hacking group COLDRIVER liên kết với Nga đã undergo nhiều developmental iterations kể từ tháng 5 năm 2025, suggesting an increased "operations tempo" từ threat actor.
Những findings này đến từ Google Threat Intelligence Group (GTIG), cho biết state-sponsored hacking crew đã rapidly refined và retooled malware arsenal của mình merely five days following publication của LOSTKEYS malware around the same time.
While it's currently not known for how long the new malware families đã been under development, threat intelligence team của tech giant cho biết họ đã not observed a single instance của LOSTKEYS kể từ disclosure.
Malware mới, được codenamed NOROBOT, YESROBOT, và MAYBEROBOT, là "một collection của related malware families connected qua một delivery chain," GTIG researcher Wesley Shields nói trong một Monday analysis.
The latest attack waves là something of a departure từ COLDRIVER's typical modus operandi, vốn involves targeting high profile individuals trong NGOs, policy advisors, và dissidents cho credential theft. In contrast, new activity revolved around leveraging ClickFix-style lures để trick users vào running malicious PowerShell commands qua Windows Run dialog như một phần của fake CAPTCHA verification prompt.
Trong khi các attacks spotted vào tháng 1, tháng 3, và tháng 4 năm 2025 đã led đến deployment của một information stealing malware được biết đến với tên LOSTKEYS, subsequent intrusions đã paved the way cho họ malware "ROBOT". It's worth noting rằng các malware families NOROBOT và MAYBEROBOT được Zscaler ThreatLabz tracked under the names BAITSWITCH và SIMPLEFIX, respectively.
The new infection chain commences với một HTML ClickFix lure dubbed COLDCOPY được designed để drop một DLL có tên NOROBOT, vốn được then executed qua rundll32.exe để drop the next-stage malware. Initial versions của attack này được said đã distributed một Python backdoor được biết đến với tên YESROBOT, before the threat actors switch sang một Powershell implant có tên MAYBEROBOT.
YESROBOT uses HTTPS để retrieve commands từ một hard-coded command-and-control (C2) server. Một minimal backdoor, nó supports the ability để download và execute files, và retrieve documents of interest. Only two instances của YESROBOT deployment đã được observed to date, specifically over a two week period vào late May shortly after details của LOSTKEYS became public knowledge.
In contrast, MAYBEROBOT được assessed là more flexible và extensible, equipped với features để download và run payload từ một specified URL, run commands using cmd.exe, và run PowerShell code.
It's believed rằng các COLDRIVER actors rushed để deploy YESROBOT như một "stopgap mechanism" likely in response to public disclosure, before abandoning it in favor của MAYBEROBOT, as the earliest version của NOROBOT cũng included một step để download một full Python 3.8 installation onto the compromised host -- một "noisy artifact" mà bound để raise suspicion.
Google cũng pointed out rằng use of NOROBOT và MAYBEROBOT là likely reserved cho significant targets, những người có thể đã bị compromised qua phishing, với end goal là gathering additional intelligence từ devices của họ.
"NOROBOT và preceding infection chain của nó đã subject to constant evolution -- initially simplified để increase chances of successful deployment, before re-introducing complexity by splitting cryptography keys," Shields nói. "Constant development này highlights the group's efforts để evade detection systems cho delivery mechanism của họ để continued intelligence collection against high-value targets."
Hà Lan điều tra ba thiếu niên liên quan đến hoạt động gián điệp mạng
The disclosure comes as the Netherlands' Public Prosecution Service, known as Openbaar Ministerie (OM), announced rằng ba 17-year-old men đã suspected of providing services cho một foreign government, với one of them alleged to be in contact với một hacker group affiliated với the Russian government.
OM nói: "This suspect cũng gave the other two instructions để map Wi-Fi networks on multiple dates in The Hague. The information collected đã shared với the client by the former suspect cho một fee và can be used cho digital espionage và cyber attacks."
Two of the suspects đã apprehended on September 22, 2025, while the third suspect, người cũng đã interviewed by authorities, đã kept under house arrest because of his "limited role" in the case.
The Dutch government body added: "There are no indications yet rằng pressure đã exerted on the suspect who was in contact with the hacker group affiliated với the Russian government."
