El grupo de amenazas persistentes avanzadas (APT) vinculado a Rusia, conocido como COLDRIVER, ha sido relacionado con una nueva ola de ataques basados en la técnica ClickFix, diseñados para distribuir dos familias de malware “ligeras”: BAITSWITCH (un downloader) y SIMPLEFIX (un backdoor en PowerShell).
La campaña fue detectada este mes por investigadores de Zscaler ThreatLabz y muestra cómo los actores estatales siguen perfeccionando métodos de ingeniería social mientras incorporan herramientas modulares para evadir defensas.

ClickFix: un vector simple pero efectivo

Los ataques ClickFix engañan a los usuarios para realizar acciones aparentemente inofensivas —como resolver un CAPTCHA falso— que en realidad ejecutan comandos en el sistema, generalmente a través del cuadro Ejecutar de Windows.
En esta campaña, las víctimas eran redirigidas a una página fraudulenta que simulaba una verificación CAPTCHA. Allí eran inducidas a ejecutar un DLL malicioso. Este archivo (BAITSWITCH) contactaba un dominio controlado por los atacantes para descargar cargas cifradas y un stager en PowerShell, estableciendo persistencia y borrando rastros de la actividad inicial.
Finalmente, el stager descargaba SIMPLEFIX, que se comunicaba con un servidor de comando y control (C2) para ejecutar scripts y comandos de PowerShell, además de binarios alojados en URLs externas.
Uno de estos scripts permitía la exfiltración de archivos sensibles en directorios específicos, un comportamiento muy similar al observado en familias anteriores atribuidas a COLDRIVER, como LOSTKEYS.

Arsenal y objetivos

COLDRIVER —también conocido como Callisto, Star Blizzard o UNC4057— opera al menos desde 2019, con campañas dirigidas contra sectores gubernamentales, de defensa, aeroespaciales, ONG, think tanks y activistas vinculados a Rusia.
Además de sus nuevas herramientas, este actor mantiene el uso de kits conocidos como Cobalt Strike, SparkRAT y backdoors personalizados como SPICA y LOSTKEYS, lo que refleja su sofisticación técnica y adaptabilidad.

Los investigadores señalan que el perfil de víctimas coincide con la estrategia histórica del grupo: miembros de la sociedad civil, defensores de derechos humanos y organizaciones no gubernamentales.

Otros actores apuntan a Rusia: BO Team y Bearlyfy

La actividad maliciosa no se limita a COLDRIVER. En septiembre, se observaron campañas adicionales contra compañías rusas:

• BO Team (también conocido como Black Owl o Hoody Hyena) distribuye archivos RAR protegidos con contraseña que contienen versiones actualizadas de los malware BrockenDoor (reescrito en C#) y ZeronetKit. Este último, desarrollado en Go, permite acceso remoto, transferencia de archivos y tunelización TCP.
• Bearlyfy, un grupo más reciente, ha desplegado ransomware como LockBit 3.0 y Babuk contra empresas en Rusia. Aunque comenzó atacando compañías pequeñas con rescates reducidos, ha escalado hacia organizaciones más grandes con demandas de hasta €80,000 en criptomonedas.
  Investigadores han identificado coincidencias de infraestructura entre Bearlyfy y el grupo pro-ucraniano PhantomCore, aunque Bearlyfy parece operar como una entidad independiente con ataques rápidos y destructivos.

Claves para la defensa

• La ingeniería social sigue siendo un riesgo crítico: técnicas simples como ClickFix aún resultan efectivas.
• La modularidad complica la detección: pequeños downloaders y cargas en PowerShell reducen huella en disco y aprovechan componentes legítimos del sistema.
• Los servicios expuestos son la puerta de entrada: parches y monitoreo constante en firewalls, VPNs y aplicaciones de borde son esenciales.
• Capacitación focalizada: entrenar a usuarios para detectar lures de tipo CAPTCHA falso o archivos sospechosos ayuda a reducir la superficie de ataque.

Recomendaciones para organizaciones

• Restringir la capacidad del navegador para invocar comandos locales como PowerShell.
• Vigilar escrituras inusuales en el Registro y patrones de descarga/ejecución en PowerShell.
• Implementar el principio de menor privilegio y segmentación de redes.
• Bloquear archivos comprimidos protegidos con contraseña o analizar adjuntos sospechosos en sandbox.
• Realizar simulaciones de phishing que repliquen técnicas ClickFix para concienciar a usuarios.

El regreso de COLDRIVER con ataques basados en ClickFix y malware modular como BAITSWITCH y SIMPLEFIX demuestra que los atacantes combinan tácticas sencillas con cargas diseñadas para persistencia y robo de información. La mejor defensa es mantener un enfoque de seguridad en capas, reforzando la protección de usuarios de alto riesgo y limitando la exposición a estos vectores cada vez más frecuentes.

Fuente: https://thehackernews.com/2025/09/new-coldriver-malware-campaign-joins-bo.html