Група кібершпигунів ColdRiver (також UNC4057, Callisto, Star Blizzard) оперативно змінила інструментарій після розголосу їхнього бекдора LostKeys. За даними Google Threat Intelligence Group (GTIG), менш ніж за тиждень оператори перейшли на нові пейлоади NoRobot, YesRobot і MaybeRobot, розгортаючи їх через соціальну інженерію та атаки класу ClickFix.
Хто такі ColdRiver і чому вони змінюють тактику
Раніше LostKeys застосовувався для цільового збору файлів у державному секторі, ЗМІ та аналітичних центрах. Після публічного аналізу LostKeys у травні 2025 року група швидко переключилася на нові ланцюжки доставки та менш помітні техніки, що свідчить про високу оперативну адаптивність і прагнення зменшити сигнатурний слід.
ClickFix: соціальна інженерія як стартовий вектор
У схемах ClickFix зловмисники змушують жертву самостійно виконати команди (здебільшого PowerShell) під приводом «виправлення відображення сайту» або проходження фальшивої CAPTCHA. Користувач вручну копіює команду зі шкідливої сторінки, тим самим ініціюючи інсталяцію. Хоча основна ціль — Windows, схожі кампанії відмічалися проти macOS і Linux. За оцінкою ESET, поширеність ClickFix як методу початкового доступу зросла на 517% між H2 2024 і H1 2025.
Еволюція інструментів: NoRobot, YesRobot і MaybeRobot
NoRobot: закріплення, прихованість і підготовка середовища
NoRobot — DLL-пейлоад, який маскують під «верифікацію» та запускають через rundll32 у сценаріях ClickFix/помилкової CAPTCHA. GTIG фіксує закріплення через модифікацію реєстру та створення завдань у планувальнику. На ранніх етапах NoRobot завантажував Python 3.8 for Windows для подальшого запуску бекдора YesRobot.
Від YesRobot до MaybeRobot для зменшення артефактів
Використання YesRobot було нетривалим: інсталяція Python привертала увагу захисників. Оператори перейшли на MaybeRobot — легковагий PowerShell-скрипт (ідентифікований Zscaler як Simplefix), що мінімізує слід у системі. У вересні 2025 року Zscaler охарактеризувала пов’язану кампанію як BaitSwitch.
Ланцюг зараження й ускладнення аналізу
З початку червня 2025 року спрощена версія NoRobot доставляє MaybeRobot, який підтримує лише три команди і відправляє результати на кілька C2, забезпечуючи зворотний зв’язок операторам. GTIG вважає, що розробка MaybeRobot близька до завершення, а основні зусилля спрямовані на підвищення скритності NoRobot.
Криптографічне розділення ключів у ланцюгу
Ключовою інновацією є розподіл криптографічних ключів між компонентами. Розшифрування фінальної корисної нагрузки можливе лише за умови коректного об’єднання фрагментів. Якщо бодай один елемент відсутній, пейлоад не відновлюється. Такий прийом суттєво ускладнює реверсинг і реконструкцію повної kill chain.
Тактика, цілі та часові рамки кампаній
Доставку NoRobot і похідних пейлоадів спостерігали з червня до вересня 2025 року. Історично ColdRiver покладалася на фішинг, однак перехід до ClickFix може пояснюватися ретаргетингом уже скомпрометованих контактів для отримання «другої стадії» доступу — безпосередньо на пристрої, що розширює спектр розвідданих. Цю гіпотезу GTIG називає робочою, але ще не остаточно підтвердженою.
Практичний захист від ClickFix і PowerShell-загроз
Політики виконання: забороняйте неперевірені PowerShell-команди, увімкніть Script Block Logging і AMSI, застосуйте Constrained Language Mode, а також WDAC/AppLocker для обмеження запуску скриптів.
Виявлення артефактів: моніторте аномалії rundll32, появу незнайомих DLL у профілях користувачів, нові завдання планувальника та ключі автозавантаження в реєстрі.
Керування інтерпретаторами: контролюйте встановлення Python та інших інтерпретаторів у корпоративному середовищі; відстежуйте нетипові запуски.
Мережевий нагляд: EDR-пошук сесій до множинних C2, фіксація повторних доставок після фішингових інцидентів, блокування копіювання/вставки команд із браузера в термінали.
Швидка ротація інструментів ColdRiver, перехід на ClickFix і криптографічне розділення ключів свідчать про еволюцію загрози та зростання живучості кампаній. Організаціям варто посилити контроль над PowerShell, впровадити технічні обмеження на запуск команд із вебсторінок та провести навчання з соціальної інженерії. Поєднання політик виконання, телеметрії та регулярної мисливської аналітики знижує імовірність успішного початкового доступу та звужує вікно можливостей для NoRobot/MaybeRobot.
