Tác nhân đe dọa được nhà nước Nga bảo trợ, COLDRIVER (còn được theo dõi với tên UNC4057, Star Blizzard và Callisto), vốn nổi tiếng với việc nhắm mục tiêu vào các tổ chức phi chính phủ, cố vấn chính sách và những người bất đồng chính kiến, đã bị liên kết với một chiến dịch mã độc phát triển nhanh chóng. Sự thay đổi này diễn ra sau khi mã độc LOSTKEYS của chúng được công bố rộng rãi vào tháng 5 năm 2025. Sự linh hoạt trong việc thay đổi công cụ và chiến thuật là một đặc điểm nổi bật của mối đe dọa mạng này.

Sự Chuyển Đổi Chiến Thuật Nhanh Chóng của COLDRIVER

Sau khi chi tiết về LOSTKEYS bị tiết lộ, COLDRIVER đã nhanh chóng loại bỏ mã độc này khỏi kho vũ khí của mình. Các nhà nghiên cứu của GTIG không còn quan sát thấy bất kỳ trường hợp LOSTKEYS nào được sử dụng sau thời điểm công bố, điều này chứng tỏ khả năng thích ứng cao của nhóm.

Chỉ trong vòng năm ngày sau khi bị lộ, COLDRIVER đã đưa vào hoạt động các họ mã độc mới, thay đổi chiến thuật và công cụ với tốc độ chưa từng có. Báo cáo gần đây từ GTIG và phân tích hỗ trợ từ Zscaler đã xác nhận điều này.

Thay vào đó, COLDRIVER bắt đầu triển khai một bộ công cụ đa dạng, bao gồm các họ mã độc có liên kết với nhau và đã trải qua nhiều lần lặp lại phát triển. Tốc độ thay đổi không ngừng này cho thấy quyết tâm của nhóm trong việc duy trì quyền truy cập vào các môi trường mục tiêu và né tránh các biện pháp phòng thủ.

NOROBOT: Hạt Nhân Mới Trong Kho Vũ Khí Mã Độc

Trung tâm của kho vũ khí được cải tiến này là một DLL độc hại có tên NOROBOT. Nó được phân phối thông qua một mồi nhử “ClickFix” đã cập nhật.

Mồi nhử này giả mạo một thử thách CAPTCHA để thu hút người dùng tương tác. NOROBOT được thiết kế để truy xuất các giai đoạn độc hại bổ sung từ các máy chủ chỉ huy và kiểm soát (C2) được mã hóa cứng.

Điều này đánh dấu một sự thay đổi từ việc COLDRIVER trước đây dựa vào các chuỗi PowerShell phức tạp. Giờ đây, chúng chọn cách lừa người dùng thực thi một DLL bằng rundll32, qua đó né tránh một số kiểm soát bảo mật truyền thống.

Chuỗi tấn công mới bắt đầu khi các mục tiêu tương tác với một trang CAPTCHA giả mạo. Trang này nhắc họ thực thi một DLL ngụy trang dưới tên “iamnotarobot.dll”.

Sự Phát Triển Liên Tục của NOROBOT

DLL này, NOROBOT (còn được Zscaler đặt tên là BAITSWITCH), đang trong quá trình phát triển liên tục. Các mẫu được quan sát từ tháng 5 đến tháng 9 năm 2025 cho thấy sự đấu tranh giữa việc triển khai đơn giản hóa (nhằm tối đa hóa tỷ lệ lây nhiễm) và sự phức tạp được đổi mới.

Ví dụ, việc chia khóa mật mã thành nhiều thành phần khác nhau nhằm gây khó khăn cho việc phân tích. Khả năng né tránh và chống phân tích là yếu tố then chốt giúp COLDRIVER duy trì các cuộc tấn công mạng tinh vi.

Tiến Hóa Của Các Backdoor: Từ YESROBOT đến MAYBEROBOT

Các phiên bản đầu của NOROBOT sẽ dẫn đến việc triển khai một backdoor Python ồn ào tên là YESROBOT. Mặc dù hoạt động hiệu quả, backdoor này cồng kềnh và yêu cầu cài đặt đầy đủ Python, làm tăng nguy cơ bị phát hiện.

GTIG chỉ quan sát thấy việc sử dụng YESROBOT trong thời gian ngắn trước khi COLDRIVER thay thế nó bằng một backdoor dựa trên PowerShell linh hoạt hơn, tên là MAYBEROBOT (hoặc SIMPLEFIX).

MAYBEROBOT loại bỏ nhu cầu về Python và tự hào có một giao thức lệnh linh hoạt hơn. Sự thay đổi này thể hiện nỗ lực không ngừng để cải thiện hiệu quả của mối đe dọa mạng.

Tốc Độ Phát Triển Nhanh Chóng và Chiến Thuật Né Tránh

Tốc độ phát triển của COLDRIVER đã tăng tốc đáng kể. Mỗi biến thể của NOROBOT đều bao gồm những thay đổi tinh tế: xoay vòng cơ sở hạ tầng, thay đổi tên tệp và chức năng xuất, cũng như thêm hoặc bớt các bước trong chuỗi lây nhiễm.

Những điều chỉnh này nhằm mục đích né tránh phát hiện và làm phức tạp phản ứng sự cố. Mặc dù việc đơn giản hóa một số bước đã giúp các nhà phòng thủ dễ dàng theo dõi hoạt động của chúng hơn, nhóm vẫn thành thạo trong việc tái giới thiệu sự phức tạp — như kết hợp các khóa mã hóa trên nhiều tệp — khi cần thiết cho an ninh hoạt động.

Đáng chú ý, backdoor cuối cùng, MAYBEROBOT, vẫn ổn định, cho thấy COLDRIVER hài lòng với sự cân bằng giữa sự tàng hình và linh hoạt của nó. Điều này cũng ngụ ý rằng trọng tâm chính của chúng đã chuyển sang củng cố chuỗi lây nhiễm, tăng khả năng phục hồi chống lại các hoạt động gỡ bỏ và phân tích.

Động Cơ Và Biện Pháp Phòng Thủ

Trong quá khứ, COLDRIVER thường ưa chuộng các cuộc tấn công phishing. Lý do đằng sau việc chúng tăng cường triển khai mã độc vẫn chưa rõ ràng, nhưng các nhà nghiên cứu suy đoán rằng cách tiếp cận này có thể được dành cho các mục tiêu có giá trị đặc biệt cao, tìm kiếm thông tin tình báo cấp thiết bị sau các thỏa hiệp tài khoản ban đầu.

Các biện pháp phòng thủ đang phát triển song song: như một phần trong phản ứng của Google, cơ sở hạ tầng và các mẫu độc hại được thêm vào Safe Browsing và các thông báo về mối đe dọa được gửi đến những người dùng Gmail và Workspace có nguy cơ.

Các chuyên gia bảo mật được khuyến khích xem xét các chỉ số xâm nhập (IOCs) được chia sẻ và các quy tắc YARA. Họ cũng cần cập nhật thông tin về các chiến dịch COLDRIVER mới nổi thông qua các nguồn cấp dữ liệu tình báo về mối đe dọa (threat intelligence).

Khi các chiến thuật của COLDRIVER tiếp tục phát triển, các nhà phòng thủ cũng phải thích nghi, luôn cảnh giác với cả những mồi nhử truyền thống và các chuỗi mã độc ngày càng tinh vi được sử dụng để tiến hành các hoạt động gián điệp của nhà nước Nga. Việc liên tục theo dõi và phát hiện xâm nhập là cực kỳ quan trọng.

Các Chỉ Số Xâm Nhập (IOCs)

• Tên tác nhân đe dọa: COLDRIVER (UNC4057, Star Blizzard, Callisto)
• Mã độc bị loại bỏ: LOSTKEYS
• DLL độc hại chính: NOROBOT (BAITSWITCH)
• Tên tệp DLL giả mạo:iamnotarobot.dll
• Backdoor Python giai đoạn đầu: YESROBOT
• Backdoor PowerShell linh hoạt: MAYBEROBOT (SIMPLEFIX)
• Mồi nhử: “ClickFix” (CAPTCHA giả mạo)