Een nieuwe malware toegeschreven aan de aan Rusland gelinkte hackgroep bekend als KOUDE RIVIER heeft sinds mei 2025 talloze ontwikkelingsiteraties ondergaan, wat duidt op een verhoogd ‘operatietempo’ van de dreigingsactor.
De bevindingen zijn afkomstig van Google Threat Intelligence Group (GTIG), die zei dat de door de staat gesponsorde hackers hun malwarearsenaal snel hebben verfijnd en opnieuw ontworpen, slechts vijf dagen na de publicatie van hun LOSTKEYS-malware rond dezelfde tijd.
Hoewel het momenteel niet bekend is hoe lang de nieuwe malwarefamilies in ontwikkeling zijn, zei het dreigingsinformatieteam van de technologiegigant dat het sinds de openbaarmaking geen enkel exemplaar van LOSTKEYS heeft waargenomen.
De nieuwe malware, met de codenamen NOROBOT, YESROBOT en MAYBEROBOT, is “een verzameling gerelateerde malwarefamilies die met elkaar verbonden zijn via een leveringsketen”, zei GTIG-onderzoeker Wesley Shields in een analyse van maandag.
De laatste aanvalsgolven wijken enigszins af van de typische modus operandi van COLDRIVER, waarbij prominente personen binnen NGO’s, beleidsadviseurs en dissidenten worden getarget op diefstal van inloggegevens. De nieuwe activiteit draaide daarentegen rond het gebruik van ClickFix-achtige lokmiddelen om gebruikers te misleiden om kwaadaardige PowerShell-opdrachten uit te voeren via het Windows Run-dialoogvenster als onderdeel van een valse CAPTCHA-verificatieprompt.
Terwijl de aanvallen die in januari, maart en april 2025 werden waargenomen, leidden tot de inzet van informatiestelende malware, bekend als LOSTKEYS, hebben daaropvolgende inbraken de weg vrijgemaakt voor de ‘ROBOT’-familie van malware. Het is vermeldenswaard dat de malwarefamilies NOROBOT en MAYBEROBOT door Zscaler ThreatLabz worden gevolgd onder respectievelijk de namen BAITSWITCH en SIMPLEFIX.
De nieuwe infectieketen begint met een HTML ClickFix-lokmiddel genaamd COLDCOPY dat is ontworpen om een DLL met de naam NOROBOT te plaatsen, die vervolgens wordt uitgevoerd via rundll32.exe om de volgende fase van malware te verwijderen. De eerste versies van deze aanval zouden een Python-achterdeur hebben verspreid die bekend staat als YESROBOT, voordat de bedreigingsactoren overstappen op een Powershell-implantaat genaamd MAYBEROBOT.
YESROBOT gebruikt HTTPS om opdrachten op te halen van een hardgecodeerde command-and-control (C2)-server. Het is een minimale achterdeur en ondersteunt de mogelijkheid om bestanden te downloaden en uit te voeren, en interessante documenten op te halen. Er zijn tot nu toe slechts twee gevallen van de inzet van YESROBOT waargenomen, met name gedurende een periode van twee weken eind mei, kort nadat de details van LOSTKEYS publiekelijk bekend werden.
Daarentegen wordt MAYBEROBOT als flexibeler en uitbreidbaarder beoordeeld, uitgerust met functies voor het downloaden en uitvoeren van payloads vanaf een opgegeven URL, het uitvoeren van opdrachten met behulp van cmd.exe en het uitvoeren van PowerShell-code.
Er wordt aangenomen dat de COLDRIVER-acteurs YESROBOT haastten om YESROBOT in te zetten als een ‘noodoplossingsmechanisme’, waarschijnlijk als reactie op de publieke onthulling, voordat ze het in de steek lieten ten gunste van MAYBEROBOT, aangezien de vroegste versie van NOROBOT ook een stap bevatte om een volledige Python 3.8-installatie op de gecompromitteerde host te downloaden – een ‘luidruchtig’ artefact dat ongetwijfeld argwaan zal wekken.
Google wees er ook op dat het gebruik van NOROBOT en MAYBEROBOT waarschijnlijk gereserveerd is voor belangrijke doelwitten, die mogelijk al zijn gecompromitteerd via phishing, met als einddoel het verzamelen van aanvullende informatie van hun apparaten.
“NOROBOT en de daaraan voorafgaande infectieketen zijn onderhevig geweest aan constante evolutie – aanvankelijk vereenvoudigd om de kansen op een succesvolle implementatie te vergroten, voordat de complexiteit opnieuw werd geïntroduceerd door het splitsen van cryptografiesleutels”, aldus Shields. “Deze voortdurende ontwikkeling benadrukt de inspanningen van de groep om detectiesystemen te omzeilen voor hun leveringsmechanisme voor voortdurende inlichtingenverzameling tegen waardevolle doelen.”
De onthulling komt op het moment dat het Nederlandse Openbaar Ministerie, beter bekend als het Openbaar Ministerie (OM), bekendmaakte dat drie 17-jarige mannen verdacht worden van het verlenen van diensten aan een buitenlandse overheid, waarbij een van hen in contact zou staan met een hackergroep die gelieerd is aan de Russische overheid.
“Deze verdachte gaf de andere twee ook opdracht om op meerdere data in Den Haag wifi-netwerken in kaart te brengen”, aldus het OM. “De verzamelde informatie is door de voormalig verdachte tegen betaling met de opdrachtgever gedeeld en kan worden gebruikt voor digitale spionage en cyberaanvallen.”
Twee van de verdachten werden op 22 september 2025 aangehouden, terwijl de derde verdachte, die ook door de autoriteiten werd geïnterviewd, vanwege zijn ‘beperkte rol’ in de zaak onder huisarrest staat.
“Er zijn nog geen aanwijzingen dat er druk is uitgeoefend op de verdachte die in contact stond met de aan de Russische overheid gelieerde hackersgroep”, aldus het Nederlandse overheidsorgaan.
