Russische Hackergruppe COLDRIVER mit neuer Malware-Offensive

Die staatlich unterstützte russische Bedrohungsgruppe COLDRIVER, bekannt für Angriffe auf hochrangige Mitarbeiter von NGOs, politische Berater und Dissidenten, hat nach der öffentlichen Enthüllung ihrer LOSTKEYS-Malware im Mai 2025 rasch umgeschaltet: Nur fünf Tage nach der Veröffentlichung setzte die Gruppe neue Malware-Familien ein. Wie lange COLDRIVER an dieser neuen Malware gearbeitet hat, bleibt unklar; seit der Veröffentlichung wurden von der Google Threat Intelligence Group (GTIG) keine weiteren Fälle von LOSTKEYS dokumentiert. Stattdessen beobachtete die GTIG neue, deutlich aggressiver eingesetzte Malware, als sie es von COLDRIVER (auch bekannt als UNC4057, Star Blizzard und Callisto) kannte.

Die der Gruppe direkt zugeschriebene neue Malware wurde seit ihrer Entdeckung mehrfach überarbeitet, was auf eine stark erhöhte Geschwindigkeit bei Entwicklung und Einsatz hindeutet. Es handelt sich um eine Suite verwandter Malware-Familien, die über eine Lieferkette miteinander verbunden sind. Die GTIG baut dabei auf Details einer kürzlich in einem Zscaler-Blogbeitrag beschriebenen Infektionskette auf und kündigt an, weitere Einzelheiten zur Infektionskette und den beteiligten Malware-Komponenten zu veröffentlichen.

Die Umstellung begann mit einer neuen bösartigen DLL namens NOROBOT, die über einen aktualisierten COLDCOPY-„ClickFix”-Köder verteilt wurde, der sich als maßgeschneidertes CAPTCHA tarnt. Ähnlich wie bei der früheren LOSTKEYS-Bereitstellung setzt COLDRIVER auf Sozialtechnik, aktualisierte jedoch die Infektionsweise: Anwender werden dazu verleitet, die bösartige DLL per rundll32 auszuführen, anstatt die zuvor genutzte mehrstufige PowerShell-Methode zu verwenden.

Quelle: Google Threat Intelligence Group

In einer frühen NOROBOT-Variante wurde eine umständliche Python-Backdoor namens YESROBOT ausgeliefert. COLDRIVER stellte YESROBOT jedoch schnell zugunsten einer flexibleren, erweiterbaren PowerShell-Backdoor namens MAYBEROBOT ein.

NOROBOT und die vorausgehende Infektionskette wurden kontinuierlich weiterentwickelt: Zunächst vereinfacht, um die Erfolgswahrscheinlichkeit der Verbreitung zu erhöhen; später wurde durch die Aufteilung von Kryptografieschlüsseln erneut Komplexität eingeführt. Die Rückkehr zu komplexeren Bereitstellungsketten erschwert die Nachverfolgung der Kampagnen.

Diese ständige Anpassung unterstreicht den Versuch der Gruppe, Erkennungssysteme für ihre Verbreitungsmechanismen zu umgehen und weiter Informationen über hochwertige Ziele zu sammeln.

Übertragung über „ClickFix“ und rundll32

Die neue Malware-Infektionskette umfasst drei Komponenten, die über eine aktualisierte Variante des COLDCOPY-Köders „ClickFix“ (c4d0fba5aaafa40aef6836ed1414ae3eadc390e1969fdcb3b73c60fe7fb37897) verbreitet werden. Dieses Köderprogramm war bereits zuvor bei der Verbreitung von LOSTKEYS im Einsatz.

Die neue COLDCOPY-Version versucht, den Nutzer dazu zu bringen, eine DLL per rundll32 herunterzuladen und auszuführen. Dabei tarnt sich die Malware als Captcha und fügt einen Text ein, der angeblich überprüft, ob der Nutzer ein Roboter ist. Die zuerst beobachtete DLL trug den Namen „iamnotarobot.dll“ und den Export „humanCheck“ – beide Bezeichnungen greifen das CAPTCHA-Motiv der Seite auf und beeinflussten teilweise die spätere ROBOT-Namensgebung der Malware.

Quelle: Google Threat Intelligence Group

powershell -c "
$s = New-Object -ComObject Schedule.Service;
$s.Connect();
$t = $s.NewTask(0);
$p = $t.principal;
$p.logontype = 3;
$p.RunLevel = 0;
$a = $t.Actions.Create(0);
$a.Path = \"$env:APPDATA\Python38-64\pythonw.exe\";
$a.Arguments = \"$env:APPDATA\Python38-64\Lib\libsystemhealthcheck.py\";
$a.WorkingDirectory = \"$env:APPDATA\Python38-64\";
$tr = $t.Triggers.Create(9);
$tr.userID = \"$env:computername\"+\"\\\"+\"$env:username\";
$tr.enabled = $true;
$s.GetFolder(\"\").RegisterTaskDefinition(\"System health check\", $t, 6, $null, $null, 0) | Out-Null;
"

YESROBOT

Die entschlüsselte Version von YESROBOT ist eine Python‑Backdoor, die über HTTPS Befehle von einer fest kodierten C2‑Adresse abruft. Die Befehle sind mit einem eingebetteten AES‑Schlüssel verschlüsselt; Systeminformationen und Benutzername werden im User‑Agent‑Header transportiert und ebenfalls verschlüsselt. YESROBOT ist bewusst minimalistisch gehalten und setzt voraus, dass alle empfangenen Anweisungen gültiger Python‑Code sind. Das erschwert typische Funktionen wie das Herunterladen und Ausführen von Dateien oder das gezielte Beschaffen von Dokumenten, da übliche Backdoors die Abruf‑und‑Ausführungslogik intern bereitstellen und vom Operator nur eine URL verlangen würden. Dadurch ist YESROBOT schwerer erweiterbar und weniger bedienungsfreundlich — ein Hinweis darauf, dass der Einsatz dieser Backdoor übereilt erfolgte. Die GTIG beobachtete Ende Mai über zwei Wochen nur zwei Einsätze von YESROBOT, bevor die Gruppe auf die Backdoor MAYBEROBOT umstellte. Aus diesen Beobachtungen schließt die GTIG, dass YESROBOT nach der Veröffentlichung von LOSTKEYS als Übergangslösung eingesetzt wurde.

Quelle: Google Threat Intelligence Group

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon