谷歌威胁情报团队（GTIG）近日披露，与俄罗斯关联的黑客组织Coldriver已部署一套新型恶意软件，取代了此前的LostKeys。该新型软件使用更为激进，表明Coldriver的开发与行动节奏正在加快。这套攻击链始于一个伪装成验证码页面的钓鱼诱饵ColdCopy，诱导用户下载并运行NoRobot恶意DLL。NoRobot作为下载器，会获取Python安装程序和脚本，进而启动YesRobot后门。但YesRobot很快被弃用，取而代之的是更灵活的PowerShell后门MaybeRobot，其攻击链经过多次迭代，通过轮换基础设施和文件名等方式，增加了安全分析的难度。

🎯 **新型恶意软件取代旧有工具**：俄罗斯黑客组织Coldriver，一个与俄罗斯联邦安全局（FSB）有关联的威胁组织，已停止使用其主力恶意软件LostKeys，转而部署一套新型恶意软件家族，包括NoRobot、YesRobot和MaybeRobot。这一转变表明该组织正在快速更新其攻击工具集，以应对安全检测和防御措施。

🎣 **“ClickFix风格”钓鱼诱饵与新型下载器**：Coldriver的新型攻击链始于一个名为ColdCopy的“ClickFix风格”钓鱼诱饵，伪装成验证码页面，诱导用户下载并执行NoRobot恶意DLL。NoRobot利用Windows合法工具rundll32.exe执行，并将其导出函数命名为“humanCheck”，以规避安全监控。NoRobot随后充当下载器，获取后续恶意软件组件。

🐍 **Python后门YesRobot的快速迭代**：NoRobot下载的组件包括Python 3.8安装程序和加密的Python脚本，这些脚本用于解密并启动一个名为YesRobot的第一阶段后门。YesRobot通过HTTPS与C2服务器通信。然而，研究人员发现Coldriver仅使用了YesRobot两周便将其弃用，推测是由于其操作繁琐且易被检测，仅作为LostKeys被曝光后的临时过渡工具。

💻 **PowerShell后门MaybeRobot的灵活性与持久化**：Coldriver随后转向使用MaybeRobot，一个更灵活、无需依赖Python脚本的PowerShell后门。在新的攻击链中，NoRobot功能被简化，主要负责在用户登录脚本中添加PowerShell命令以实现MaybeRobot的持久化运行。MaybeRobot具有可扩展性，支持下载执行文件、运行命令和执行PowerShell代码块，但缺乏自动数据窃取等内置功能。

🔄 **持续迭代与基础设施轮换以规避检测**：Coldriver在2025年6月至9月期间，对NoRobot进行了持续的迭代，并在“简化版”和“复杂版”感染链之间交替使用，以阻碍安全分析。该组织还频繁轮换基础设施、文件名和导出函数，展现出“适应性强的攻击手法”，迫使防御方需要捕获多个组件才能完整还原攻击过程。

HackerNews 编译，转载请注明出处：

谷歌威胁情报团队（GTIG）研究人员表示，已发现与俄罗斯有关联的黑客组织 Coldriver 部署了一套新型恶意软件。

GTIG 在 10 月 20 日发布的报告中指出，这套恶意软件由多个通过交付链关联的家族组成。自 2025 年 5 月 Coldriver 此前的主力恶意软件 LostKeys 被公开披露后，该新型软件似乎已取代 LostKeys 的地位。

研究人员提到，与该组织此前所有已确认的恶意软件活动相比，这套新型软件的使用更为激进。

GTIG 认为，这一现象表明 Coldriver 的恶意软件开发与行动节奏正迅速加快。

Coldriver 还拥有 Star Blizzard、Callisto 和 UNC4057 等代号，是一个被认定与俄罗斯联邦安全局（FSB）有关联的威胁组织。

该组织至少自 2017 年起开始活跃，其已知行动重点是 “凭证钓鱼” 活动，目标包括知名非政府组织（NGO）、前情报与军事官员以及北约（NATO）成员国政府，目的是开展间谍活动。

2023 年 12 月，英国国家网络安全中心（NCSC）表示，该组织是一系列持续网络攻击的幕后黑手，这些攻击旨在干预英国政治与民主进程。

2024 年 1 月，谷歌发现该组织的行动已不止于 “钓鱼窃取凭证”，还开始投放能够从目标设备中窃取敏感信息的恶意软件。

2025 年 5 月，GTIG 监测到 Coldriver 在同年 1 月至 3 月的恶意活动中，使用了一款名为 LostKeys 的新型恶意软件。

GTIG 在 10 月 20 日的新报告中称，自 LostKeys 被披露后，尚未再观察到这款恶意软件的活动痕迹。

相反，Coldriver 似乎已转向一套新型恶意软件家族，谷歌将其分别追踪为 NoRobot、YesRobot 和 MaybeRobot。

攻击始于一个 “ClickFix 风格” 的钓鱼诱饵 —— 这是一个伪造的验证码（CAPTCHA）页面，目的是诱骗受害者认为自己必须完成 “人机验证” 才能继续操作。谷歌将该诱饵追踪为 ColdCopy。

该页面会诱导用户通过 Windows 合法工具 rundll32.exe，下载并运行一个名为 NoRobot 的恶意动态链接库（DLL）。为强化 “验证码验证” 的伪装，该 DLL 的导出函数被命名为 “humanCheck”（人机检查）。

这种方式取代了过去依赖 PowerShell 的旧方法，使得监控 “基于脚本执行” 的安全工具更难检测到攻击。

NoRobot DLL 执行后会充当 “下载器” 的角色。其早期版本采用 “分钥加密” 机制，部分解密密钥隐藏在下载文件和 Windows 注册表中（例如 HKEY_CURRENT_USER\SOFTWARE\Classes.pietas 路径下）。这一设计增加了分析难度，因为缺失任何一个组件都会导致解密失败。

随后，NoRobot 会从恶意域名 inspectguarantee [.] org 获取三个内容：一个自解压的 Python 3.8 安装程序、两个加密的 Python 脚本（分别为 libsystemhealthcheck.py 和 libcryptopydatasize.py），以及一个用于确保恶意软件在设备重启后仍能运行的计划任务。

这些 Python 脚本会协同工作，解密并启动一个精简的、基于 Python 的第一阶段后门程序 —— 谷歌将其追踪为 YesRobot。该后门通过 HTTPS 协议与硬编码的命令与控制（C2）服务器通信。

GTIG 指出，Coldriver 仅使用了 YesRobot 两周就将其弃用，原因很可能是该软件操作繁琐且易被检测 —— 尤其是 “安装 Python 环境” 这一步骤会留下明显痕迹。

研究人员认为，在 LostKeys 被曝光后，YesRobot 仅是该组织临时使用的 “过渡工具”。

2025 年 6 月前后，Coldriver 转而使用 MaybeRobot—— 一款更灵活的、基于 PowerShell 的后门程序，且无需依赖 Python 脚本。

在这一新版攻击链中，NoRobot 的功能被简化：仅需获取一个登录脚本，通过在用户登录脚本中添加 PowerShell 命令，即可实现 MaybeRobot 的持久化运行。

MaybeRobot 采用自定义 C2 协议，包含三项核心命令：

从指定 URL 下载并执行文件通过 cmd.exe 运行命令执行 PowerShell 代码块

与 YesRobot 不同，MaybeRobot 的设计具备 “可扩展性”，意味着攻击者可动态发送复杂命令；但该后门本身仍缺乏部分内置功能，例如 “自动数据窃取”。

2025 年 6 月至 9 月期间，Coldriver 持续对 NoRobot 进行迭代，在 “简化版” 与 “复杂版” 感染链之间交替切换。这种操作既能阻碍安全人员分析，又能确保 MaybeRobot 这款 PowerShell 后门稳定交付。

该组织还频繁进行细微调整，例如轮换基础设施、文件名和导出函数。这些举动体现了 Coldriver “适应性强的攻击手法”，迫使防御方必须捕获多个攻击组件，才能完整还原攻击过程。

GTIG 的这份报告进一步补充了 Zscaler 在 9 月发布的研究内容。在 Zscaler 的追踪体系中，NoRobot 被命名为 BaitSwitch，MaybeRobot 则被命名为 SimpleFix。

 

---

消息来源：infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文