Die russischsprachige APT-Gruppe ColdRiver (auch bekannt als UNC4057, Callisto, Star Blizzard) passt ihre Werkzeuge und Taktiken an: Laut Google Threat Intelligence Group (GTIG) ersetzt die Gruppe den zuvor öffentlich analysierten Backdoor LostKeys durch die Familien NoRobot, YesRobot und MaybeRobot und verlagert den Erstzugriff auf Social-Engineering-Angriffe der Klasse ClickFix. ESET meldet für diesen Vektor eine Zunahme um 517% von H2/2024 auf H1/2025.
Hintergrund: ColdRiver und der aktuelle Wechsel
LostKeys wurde zuvor für Spionage gegen Regierungsstellen, Journalistinnen und Journalisten sowie Thinktanks eingesetzt und auf den Diebstahl bestimmter Dateitypen optimiert. Nach der öffentlichen Offenlegung im Mai 2025 beobachtete GTIG einen raschen TTP-Wechsel: Innerhalb weniger Tage wechselte ColdRiver auf neue, unauffälligere Payloads mit veränderter Lieferlogik.
ClickFix als Vektor: Social Engineering statt Exploits
ClickFix zielt darauf ab, dass Nutzende selbst Befehle ausführen – meist PowerShell – vermeintlich um Anzeigefehler zu beheben oder eine Fake-CAPTCHA zu lösen. Opfer werden auf präparierte Seiten umgeleitet und kopieren die Befehle manuell. Der Schwerpunkt liegt auf Windows, ähnliche Muster wurden jedoch auch bei macOS und Linux beobachtet. Der Charme für Angreifer: kein Exploit notwendig, geringe Hürde durch plausibel wirkende Interaktionen.
Werkzeugkette: NoRobot, YesRobot, MaybeRobot
NoRobot – Persistenz und Vorbereitung der Umgebung
NoRobot ist ein als DLL getarnter Payload, der in ClickFix- und Fake-CAPTCHA-Szenarien über rundll32 gestartet wird. GTIG beschreibt Persistenzmechanismen über Registry-Autostarts und Tasks im Aufgabenplaner. Frühere Varianten installierten Python 3.8 für Windows, um die Laufzeitumgebung für den nachgelagerten Python-Backdoor YesRobot bereitzustellen.
YesRobot und Übergang zu MaybeRobot – weniger Artefakte, mehr Tarnung
YesRobot hinterließ durch die Python-Installation sichtbare Spuren und erhöhte damit das Entdeckungsrisiko. In der Folge wechselte ColdRiver auf den PowerShell-basierten MaybeRobot (von Zscaler als Simplefix erfasst), um Artefakte zu minimieren. Zscaler ordnete die damit verbundene Kampagne im September 2025 als BaitSwitch ein.
Architektur, C2 und Verschleierung der Kill Chain
Seit Juni 2025 liefert eine vereinfachte NoRobot-Variante direkt MaybeRobot aus. MaybeRobot unterstützt derzeit einen bewusst kleinen Befehlssatz von drei Kommandos und übermittelt Ergebnisse an mehrere Command-and-Control-Endpunkte, was die Resilienz der Operation erhöht. GTIG deutet an, dass die Entwicklung von MaybeRobot weit fortgeschritten ist, während die Tarnung von NoRobot weiter verfeinert wird.
Ein zentrales Merkmal ist die Schlüsselteilung über mehrere Stufen: Kryptografische Schlüssel sind zwischen Komponenten verteilt, sodass die Entschlüsselung der finalen Nutzlast nur bei korrekter Kettenkombination gelingt. Fehlt eine Komponente, bleibt der Payload unlesbar – ein effektiver Schutz gegen Analyse und Rekonstruktion der vollständigen Kill Chain.
Ziele, Timing und Hypothesen zur Taktikverschiebung
Die Auslieferung von NoRobot und Folge-Payloads wurde von Juni bis September 2025 beobachtet. Historisch setzte ColdRiver auf Spear-Phishing für Initial Access. Der Wechsel zu ClickFix könnte – neben Reaktionsdruck durch öffentliche Analysen – auch dem Retargeting bereits kompromittierter Kontakte dienen: Gestohlene Adressbücher und E-Mail-Verläufe erleichtern glaubwürdige Folgeangriffe mit direktem Gerätezugriff und erweitern so das Aufklärungsprofil.
Handlungsempfehlungen gegen ClickFix und PowerShell-Angriffe
PowerShell kontrollieren: Script Block Logging und AMSI aktivieren, Constrained Language Mode einsetzen sowie WDAC/Applocker-Policies für Skript- und Interpreter-Einschränkungen nutzen.
Social Engineering entschärfen: Mitarbeitende gezielt zu ClickFix-Mustern schulen (Fake-CAPTCHA, „Anzeige fixen“). Kopieren und Ausführen von Befehlen aus dem Browser unternehmensweit unterbinden oder kontrollieren.
Persistenz-Signale überwachen: Anomalien bei rundll32-Aufrufen, neue oder unbekannte DLLs in Benutzerprofilen, neu angelegte Aufgaben im Aufgabenplaner und Autostart-Keys im Registry-Umfeld detektieren.
Interpreter im Blick behalten: Installation und Nutzung von Laufzeitumgebungen (z. B. Python) inventarisieren, blockieren oder nur signiert erlauben.
C2-Jagd und Incident-Verknüpfung: EDR-seitig nach Mehrfachverbindungen zu unterschiedlichen C2-Domains suchen und erneute Zustellversuche nach Phishing-Vorfällen als Eskalationssignal werten.
Die konsistenten Beobachtungen von GTIG, ESET und Zscaler belegen die schnelle Anpassungsfähigkeit von ColdRiver: ClickFix als initialer Vektor, rotierende Toolchains und geteilte Schlüsselmaterialien erhöhen die Langlebigkeit der Kampagnen. Organisationen sollten PowerShell strikt reglementieren, das Kopieren von Befehlen aus dem Web verhindern und Social-Engineering-Trainings priorisieren. Wer diese Kontrollen kombiniert, verkleinert die Angriffsfläche und reduziert das Zeitfenster für NoRobot/MaybeRobot signifikant.
