El grupo ruso de amenazas persistentes avanzadas (APT) conocido como COLDRIVER ha sido atribuido a una nueva ronda de ataques al estilo ClickFix diseñados para lanzar dos nuevas familias de malware «ligero» rastreadas como BAITSWITCH y SIMPLEFIX.
Zscaler ThreatLabz, que detectado la nueva campaña de ClickFix en varias etapas a principios de este mes describió a BAITSWITCH como un descargador que, en última instancia, lanza SIMPLEFIX, una puerta trasera de PowerShell.
RÍO FRÍO , también conocido como Callisto, Star Blizzard y UNC4057, es el apodo asignado a un actor de amenazas vinculado a Rusia que se sabe que apunta a una amplia gama de sectores desde 2019. Si bien en las primeras oleadas de campañas se utilizaron trampas de suplantación de identidad para dirigir a los objetivos a las páginas de recolección de credenciales, el grupo ha ido ampliando su arsenal con herramientas personalizadas como ESPECIA y LLAVES PERDIDAS , lo que subraya su sofisticación técnica.
El Google Threat Intelligence Group (GTIG) documentó previamente el uso de tácticas de ClickFix por parte del adversario en mayo de 2025, mediante sitios falsos que ofrecían mensajes de verificación CAPTCHA falsos para engañar a la víctima para que ejecutara un comando de PowerShell diseñado para ejecutar el script de Visual Basic LOSTKEYS.
«El uso continuo de ClickFix sugiere que es un vector de infección eficaz, aunque no sea novedoso ni técnicamente avanzado», dijeron los investigadores de seguridad de Zscaler, Sudeep Singh y Yin Hong Chang, en un informe publicado esta semana.
La última cadena de ataques sigue el mismo modus operandi, engañando a los usuarios desprevenidos para que ejecuten una DLL malintencionada en el cuadro de diálogo Ejecutar de Windows con el pretexto de completar una comprobación de CAPTCHA. La DLL, BAITSWITCH, se dirige a un dominio controlado por un atacante («captchanom [.] top») para buscar la puerta trasera de SIMPLEFIX, mientras que las víctimas reciben un documento señuelo alojado en Google Drive.
También realiza varias solicitudes HTTP al mismo servidor para enviar información del sistema, recibir comandos para establecer la persistencia, almacenar cargas cifradas en el Registro de Windows, descargar un stager de PowerShell, borrar el comando más reciente ejecutado en el cuadro de diálogo Ejecutar y borrar de forma efectiva los rastros del ataque ClickFix que provocó la infección.
Posteriormente, el stager de PowerShell descargado se comunica con un servidor externo («southprovesolutions [.] com») para descargar SIMPLEFIX, que, a su vez, establece la comunicación con un servidor de comando y control (C2) para ejecutar los scripts, comandos y archivos binarios de PowerShell alojados en URL remotas.
Uno de los scripts de PowerShell ejecutados mediante SIMPLEFIX extrae información sobre una lista codificada de tipos de archivos que se encuentra en una lista de directorios preconfigurada. La lista de directorios y extensiones de archivos compartidos analizados se superpone con la de LOSTKEYS.
«El grupo COLDRIVER APT es conocido por atacar a miembros de ONG, defensores de los derechos humanos y centros de estudios de las regiones occidentales, así como a personas exiliadas y residentes en Rusia», dijo Zscaler. «El enfoque de esta campaña se alinea estrechamente con su victimología, que se dirige a los miembros de la sociedad civil relacionados con Rusia».
BO Team y Bearlyfy apuntan a Rusia
La noticia se produce cuando Kaspersky dijo que había observado una nueva campaña de suplantación de identidad dirigida a empresas rusas a principios de septiembre llevada a cabo por Equipo BO grupo (también conocido como Black Owl, Hoody Hyena y Lifting Zmiy) que utiliza archivos RAR protegidos con contraseña para ofrecer una nueva versión de Puerta rota reescrito en C# y una versión actualizada de ZeroNetKit.
Una puerta trasera de Golang, ZeroNetKit, viene equipada con capacidades para admitir el acceso remoto a hosts comprometidos, cargar y descargar archivos, ejecutar comandos con cmd.exe y crear un túnel TCP/IPv4. Algunas versiones más recientes también admiten la descarga y ejecución de shellcode, así como la actualización del intervalo de comunicación con C2 y la modificación de la lista de servidores C2.
«ZeroNetKit no puede persistir de forma independiente en un sistema infectado, por lo que los atacantes utilizan BrockenDoor para copiar la puerta trasera descargada y ponerla en marcha», afirma el proveedor ruso de ciberseguridad dijo .
También sigue al surgimiento de un nuevo grupo llamado Bearlyfy que ha utilizado cepas de ransomware como LockBit 3.0 y Babuk en ataques contra Rusia, atacando inicialmente a empresas más pequeñas para obtener rescates más pequeños antes de pasar a empresas más grandes del país a partir de abril de 2025, según F6. En agosto de 2025, se estima que el grupo se había cobrado al menos 30 víctimas.
En un incidente dirigido contra una empresa de consultoría, se observó que los actores de la amenaza utilizaban como arma una versión vulnerable de Bitrix para acceder por primera vez, y luego utilizaban la falla Zerologon para aumentar los privilegios. En otro caso observado en julio, se afirma que el acceso inicial se facilitó a través de una empresa asociada anónima.
«En el ataque registrado más reciente, los atacantes exigieron 80.000 euros en criptomonedas, mientras que en el primer ataque, el rescate fue de varios miles de dólares», dicen los investigadores de F6 dijo . «Debido a los montos de rescate relativamente bajos, en promedio, una de cada cinco víctimas compra descifradores a los atacantes».
Se estima que Bearlyfy está activa desde enero de 2025, y un análisis más profundo de sus herramientas ha descubierto que la infraestructura se superpone con la de un probable grupo de amenazas proucraniano llamado Núcleo fantasma , que tiene un historial de ataques contra empresas rusas y bielorrusas desde 2022. A pesar de estas similitudes, se cree que Bearlyfy es una entidad autónoma.
«PhantomCore implementa ataques complejos y de varias etapas típicos de las campañas de APT», dijo la empresa. «Bearlyfy, por otro lado, utiliza un modelo diferente: los ataques se realizan con una preparación mínima y se centran en lograr un efecto inmediato. El acceso inicial se logra mediante la explotación de servicios externos y aplicaciones vulnerables. El conjunto de herramientas principal tiene como objetivo el cifrado, la destrucción o la modificación de los datos».