COLDRIVER : évolution rapide après l'exposition de LOSTKEYS

COLDRIVER : évolution rapide après l’exposition de LOSTKEYS

Dans le paysage cybermenaçé en constante évolution, les groupes d’acteurs avancés persistent et signent. Le groupe COLDRIVER, également connu sous les noms d’UNC4057, Star Blizzard et Callisto, a récemment démontré une capacité d’adaptation remarquable après l’exposition publique de son malware LOSTKEYS en mai 2025. Selon les recherches du Google Threat Intelligence Group (GTIG), ce groupe soutenu par l’État russe a abandonné LOSTKEYS seulement cinq jours après sa divulgation, lançant immédiatement de nouvelles familles de malware qui marquent une escalade significative en termes de vitesse de développement et d’agressivité opérationnelle. Cette réactivité inquiétante soulève des questions cruciales sur les futures tactiques de ce groupe persistant.

COLDRIVER, une menace sophistiquée ciblant des personnalités de premier plan associées à des ONG, des instituts de politique et des dissidents politiques, a démontré une adaptabilité et une persistance remarquables face à l’augmentation de la surveillance. Les rapports du GTIG indiquent que les efforts récents du groupe impliquent une chaîne de familles de malware apparentées, distribuées via un mécanisme imitant un défi CAPTCHA, une évolution de leurs précédents leurres COLDCOPY. Cette approche montre une compréhension fine de la psychologie des utilisateurs et des techniques d’ingénierie sociale.

Le groupe COLDRIVER : menaces russes persistantes

COLDRIVER est identifié comme un groupe de menaces avancées (APT) liées à la Russie, opérant depuis plusieurs années avec un haut niveau de sophistication. Selon différentes analyses de menaces, ce groupe aurait été actif depuis au moins 2020, avec des campagnes ciblées principalement contre des organisations politiques et des think tanks dans les pays occidentaux. Son modus operandi classique consiste à utiliser des e-mails de spear-phishing personnalisés pour compromettre des systèmes et installer des portes dérobées persistantes.

Les experts en cybersécurité soulignent que COLDRIVER est particulièrement connu pour sa persistance et sa capacité à s’adapter rapidement aux défenses mises en place. Après chaque analyse de ses campagnes, le groupe modifie rapidement ses techniques et outils, rendant la détection et la mitigation particulièrement complexes. Cette évolution constante des tactiques représente un défi majeur pour les équipes de sécurité chargées de défendre les cibles de choix de ce groupe.

NOROBOT : la nouvelle campagne d’infection

L’élément central de la campagne récente de COLDRIVER est NOROBOT, un fichier DLL malveillant distribué initialement via un leurre appelé “ClickFix”. Cette technique d’ingénierie sociale imite un défi CAPTCHA, incitant les utilisateurs à vérifier qu’ils ne sont pas “des robots”, d’où le nom du malware. Une fois l’utilisateur exécute le fichier via rundll32, NOROBOT initie une séquence qui se connecte à un serveur de command-and-control (C2) codé en dur pour récupérer la prochaine étape du malware.

Le GTIG note que NOROBOT a subi des mises à jour continues entre mai et septembre 2025. Les versions initiales étaient récupérées et installées dans un environnement Python 3.8 complet, qui était ensuite utilisé pour exécuter une porte dérobée baptisée YESROBOT. Cette méthode laissait des traces évidentes, telles que l’installation de Python, qui pouvaient déclencher des alertes. En conséquence, COLDRIVER a remplacé YESROBOT par une porte dérobée plus élégante et furtive basée sur PowerShell : MAYBEROBOT.

NOROBOT dans ses premières versions reposait sur l’obfuscation cryptographique, en divisant les clés AES entre divers composants. Par exemple, une partie de la clé était stockée dans le Registre Windows, tandis que le reste était intégré dans des scripts Python téléchargés comme libsystemhealthcheck.py. Ces fichiers, hébergés sur des domaines tels que inspectguarantee[.]org, étaient essentiels pour déchiffrer et activer la porte dérobée finale.

Selon les analyses du GTIG, la rapidité avec laquelle COLDRIVER a adapté sa tactique après l’exposition de LOSTKEYS démontre une capacité organisationnelle impressionnante et une compréhension approfondie des techniques de défense des cibles.

YESROBOT : une solution temporaire

YESROBOT, une porte dérobée Python minimale, n’a été observée que deux fois sur une fenêtre de deux semaines à la fin mai 2025. Les commandes étaient chiffrées AES et émises via HTTPS, avec des identifiants système inclus dans la chaîne User-Agent. Cependant, ses limitations, telles que la nécessité d’un interpréteur Python complet et le manque d’extensibilité, ont conduit COLDRIVER à l’abandonner rapidement.

Le GTIG estime que YESROBOT a servi de solution provisoire, déployée à la hâte après l’exposition de LOSTKEYS. L’effort pour maintenir la continuité opérationnelle suggère que COLDRIVER était sous pression pour rétablir des points d’appui sur les systèmes précédemment compromises. Cette situation met en lumière le débalancement temporaire causé par la divulgation publique des outils du groupe, créant une fenêtre d’opportunité pour les défenseurs.

Dans la pratique, les chercheurs en sécurité ont observé que YESROBOT, bien que fonctionnel, présentait des caractéristiques de détection évidentes. L’utilisation d’un environnement Python complet laissait des traces dans le système, notamment à travers :

• Le téléchargement et l’installation de l’environnement Python
• Les processus liés à l’exécution de scripts Python
• Les artefacts de configuration associés

Ces éléments, bien que techniques, représentaient des indicateurs de compromission (IoC) relativement faciles à détecter pour les solutions de sécurité avancées, expliquant probablement l’abandon rapide par le groupe.