El ecosistema de amenazas vinculado a ColdRiver —también rastreado como UNC4057, Callisto y Star Blizzard— entra en una fase de rápida adaptación. Investigadores de Google Threat Intelligence Group (GTIG) documentan el abandono del implante LostKeys y la transición hacia las familias NoRobot, YesRobot y MaybeRobot, distribuidas principalmente mediante ingeniería social y ataques ClickFix, un vector que persuade a la víctima para ejecutar comandos de forma manual.
ColdRiver cambia de arsenal: de LostKeys a NoRobot/MaybeRobot
LostKeys se empleó en operaciones de ciberespionaje contra gobiernos, periodistas y think tanks, con énfasis en la exfiltración selectiva de archivos por extensiones y rutas. Tras el análisis público de LostKeys en mayo de 2025, GTIG observó un giro táctico en menos de una semana: los operadores desplegaron nuevos payloads con cadenas de infección más discretas y fragmentadas.
ClickFix como vector de acceso inicial: PowerShell y señuelos web
En campañas ClickFix, el atacante convence a la víctima de copiar y ejecutar comandos —normalmente PowerShell— bajo pretextos como “arreglar la visualización” del sitio o superar una CAPTCHA falsa. Las víctimas son redirigidas a páginas preparadas donde inician, sin saberlo, la instalación del malware. Aunque el objetivo principal es Windows, existen precedentes contra macOS y Linux. Según ESET, la prevalencia de ClickFix como vector de acceso inicial creció un 517% entre 2H-2024 y 1H-2025.
Arquitectura y evolución de las herramientas
NoRobot: persistencia y preparación del entorno
NoRobot es un payload DLL ejecutado vía rundll32, a menudo presentado como una etapa de “verificación” en flujos ClickFix/CAPTCHA. Logra permanencia mediante claves de registro y tareas programadas. En iteraciones tempranas, descargaba Python 3.8 para Windows para allanar la instalación del backdoor YesRobot.
YesRobot y el giro hacia MaybeRobot
YesRobot tuvo vida corta: la huella visible de Python aumentó la detección. El grupo migró a MaybeRobot —un script PowerShell identificado por Zscaler como Simplefix— para reducir artefactos. Zscaler etiquetó en septiembre de 2025 una campaña relacionada como BaitSwitch, subrayando el énfasis en señuelos de navegador y mínima fricción en el host.
Cadena de infección, cifrado por partes y control C2
Desde inicios de junio de 2025, una versión simplificada de NoRobot despliega MaybeRobot, que ofrece un conjunto acotado de funciones —tres comandos— y reporta resultados a múltiples servidores de mando y control (C2). GTIG estima que MaybeRobot está próximo a su madurez y que el esfuerzo actual se centra en endurecer la sigilosidad de NoRobot.
Un elemento diferenciador es el fraccionamiento de claves criptográficas entre componentes: la desencriptación del payload final solo es posible al recombinar los fragmentos. Este diseño complica el análisis forense y la reconstrucción de la kill chain; la ausencia de un eslabón invalida el descifrado.
Tácticas, objetivos y hipótesis operativas
Las entregas de NoRobot y sus sucesores se han observado entre junio y septiembre de 2025. Si bien ColdRiver históricamente explotó el phishing, el salto a ClickFix sugiere optimizar la tasa de éxito eludiendo controles de correo y EDR. Una hipótesis operativa apunta al retargeting de contactos previamente comprometidos —con agendas y hilos robados— para obtener una “segunda etapa” de acceso directo al endpoint y ampliar la recolección de inteligencia.
Medidas de seguridad recomendadas ante ClickFix y PowerShell
– Bloquear la ejecución de comandos no verificados y capacitar sobre señuelos ClickFix (CAPTCHA falsas, “arreglos” de página).
– Activar PowerShell Script Block Logging y AMSI; aplicar Constrained Language Mode; usar WDAC/AppLocker para limitar scripts no firmados.
– Vigilar anomalías de rundll32, DLL desconocidas en perfiles de usuario, nuevas tareas programadas y claves de inicio automático.
– Controlar la instalación y uso atípico de intérpretes (por ejemplo, Python) en entornos corporativos.
– Cazar en EDR conexiones a múltiples C2 e intentos repetidos de entrega tras incidentes de phishing.
La convergencia de hallazgos de GTIG, ESET y Zscaler confirma una aceleración en la adaptación de ColdRiver: del phishing al ClickFix, rotación de herramientas y cifrado por partes para frustrar el análisis. Priorizar controles sobre PowerShell, impedir la copia-ejecución de comandos desde el navegador y reforzar la formación en ingeniería social reduce el éxito del acceso inicial y limita la ventana operativa de NoRobot/MaybeRobot. Actúe hoy: evalúe sus políticas, simule campañas ClickFix y verifique que su telemetría de PowerShell y rundll32 esté generando alertas accionables.
