Google Threat Intelligence Group (GTIG) сообщает о новом этапе активности русскоязычной группы ColdRiver (также известной как UNC4057, Callisto, Star Blizzard). По данным исследователей, операторы отказались от ранее задокументированного инструмента LostKeys и перешли к семействам NoRobot, YesRobot и MaybeRobot, доставляя их через социальную инженерию и атаки класса ClickFix.
Кто такие ColdRiver и что изменилось
Ранее LostKeys применялся в кибершпионаже против правительств, журналистов и аналитических центров, фокусируясь на краже файлов по заранее заданным маскам расширений и каталогов. После публичного разбора LostKeys в мае 2025 года GTIG зафиксировала быструю смену тактик: менее чем за неделю группа начала развертывать новые пейлоады с иной логикой доставки и скрытности.
ClickFix: социальная инженерия вместо эксплойтов
В схемах ClickFix злоумышленники подталкивают жертв к самостоятельному запуску команд — чаще PowerShell — под предлогом «исправления отображения сайта» или прохождения фальшивой CAPTCHA. Пользователей перенаправляют на подготовленные страницы, где они копируют команды вручную, тем самым инициируя установку вредоноса. Хотя основной фокус — Windows, ранее отмечались похожие кампании против macOS и Linux. По оценке ESET, распространенность ClickFix как вектора изначального доступа выросла на 517% со второй половины 2024 по первую половину 2025 года.
Эволюция инструментов ColdRiver
NoRobot: закрепление и подготовка среды
NoRobot — DLL-пейлоад, который операторы маскируют под этап «верификации» и запускают через rundll32 в сценариях ClickFix и поддельной CAPTCHA. По данным Google, закрепление достигается через модификацию реестра и создание планировщика задач. На ранних этапах NoRobot также загружал Python 3.8 для Windows, подготавливая систему к установке Python-бэкдора YesRobot.
YesRobot и переход к MaybeRobot
Использование YesRobot оказалось кратковременным: видимый «след» в виде установленного Python привлекал внимание защитников. Группа сменила подход на PowerShell-скрипт MaybeRobot (идентифицирован Zscaler как Simplefix), избавившись от лишних артефактов. В сентябре 2025 года Zscaler охарактеризовала связанную кампанию как BaitSwitch.
Архитектура заражения и сокрытие цепочки
С начала июня 2025 года упрощенная версия NoRobot стала доставлять MaybeRobot, который поддерживает ограниченный набор функций — всего три команды. После выполнения он отправляет результаты на различные управляющие сервера, обеспечивая операторам обратную связь о ходе операций. GTIG отмечает, что разработка MaybeRobot, по-видимому, близка к завершению, а усилия смещены на повышение скрытности NoRobot.
Примечательно применение разделения криптографических ключей между компонентами цепочки. Расшифровка финального пейлоада возможна только при корректном объединении фрагментов, что усложняет анализ и восстановление полной kill chain: если хотя бы один компонент отсутствует, полезная нагрузка не расшифровывается.
Тактика и цели: от фишинга к ClickFix
Активность доставок NoRobot и последующих пейлоадов наблюдалась с июня по сентябрь 2025 года. Исторически ColdRiver полагалась на фишинг для первичного доступа, однако мотивы перехода к ClickFix пока не подтверждены. Одна из рабочих гипотез: ретаргетинг уже скомпрометированных контактов, у которых похищены переписка и адресные книги, для получения «второй ступени» доступа непосредственно к устройствам и расширения спектра разведданных.
Практические меры защиты от ClickFix и PowerShell-угроз
— Запрет на выполнение непроверенных PowerShell-команд и обучение сотрудников распознаванию ClickFix-наживок (ложные CAPTCHA, «исправления отображения» страниц).
— Включение PowerShell Script Block Logging и AMSI, применение Constrained Language Mode; политики WDAC/Applocker для ограничения запуска скриптов.
— Мониторинг аномалий rundll32, появления незнакомых DLL в пользовательских профилях, новых задач планировщика и ключей автозагрузки в реестре.
— Контроль установки интерпретаторов (например, Python) и их нештатного использования в корпоративной среде.
— EDR-охота за сетевыми сессиями к множественным C2, индикаторы повторных попыток доставки после фишинговых инцидентов.
Совокупность наблюдений GTIG, ESET и Zscaler указывает на ускоренную адаптацию ColdRiver: переход на ClickFix, ротация инструментов и усложнение расшифровки пейлоадов повышают живучесть кампаний. Организациям рекомендуется усилить контроль за PowerShell, внедрить запрет на копирование и запуск команд со страниц браузера, а также провести тренинги по социальной инженерии. Это снизит вероятность успешного первичного доступа и сократит окно возможностей для последующих бэкдоров NoRobot/MaybeRobot.
