Un sofisticado grupo de hackers rusos, vinculado a los servicios de inteligencia del país, ha desarrollado una nueva familia de malware capaz de infiltrarse a través de simples pruebas de verificación humana, como los captchas de “No soy un robot”.
El grupo, conocido como Star Blizzard, también identificado bajo los nombres ColdRiver, UNC4057 o Callisto, ha estado perfeccionando una serie de ataques de ingeniería social que combinan trampas visuales y código malicioso de nueva generación.
La amenaza se presenta a través de una técnica llamada ClickFix, donde los atacantes muestran al usuario una página falsa con un captcha aparentemente inofensivo. Al intentar “verificar” que no es un robot, la víctima ejecuta sin saberlo un archivo DLL infectado, conocido como NOROBOT, que inicia el proceso de infección del sistema.
Los investigadores de Google Threat Intelligence Group (GTIG) detectaron que el malware ha estado en desarrollo constante desde mayo y que se ha utilizado en operaciones de espionaje dirigidas contra gobiernos, periodistas, ONG y centros de investigación occidentales.
De un captcha falso a un ataque completo
Según los investigadores, NOROBOT fue el primer componente de esta nueva cadena de infección. Una vez activado, el malware realiza modificaciones en el registro de Windows y crea tareas programadas para mantenerse activo incluso después de reiniciar el sistema.
Su función principal es preparar el entorno para descargar e instalar otros módulos, como YESROBOT y MAYBEROBOT, versiones más sofisticadas que amplían las capacidades del ataque.
El módulo MAYBEROBOT, desarrollado en PowerShell, puede ejecutar comandos directamente en la consola, descargar cargas útiles desde direcciones controladas por los atacantes e incluso ejecutar bloques completos de código malicioso en segundo plano. Una vez completada su tarea, el malware envía los resultados de cada acción a distintos servidores de comando y control, permitiendo a los hackers evaluar la eficacia del ataque en tiempo real.
Lo más preocupante, advierte Google, es que esta nueva generación de malware ha evolucionado hacia estructuras más simples, pero también más resistentes al análisis forense. Los atacantes incluso han dividido sus claves de cifrado en diferentes componentes, lo que hace casi imposible reconstruir la cadena de infección si falta alguno de los archivos descargados.
Los especialistas creen que esta táctica busca dificultar la detección y el seguimiento de los ataques, volviéndolos mucho más persistentes y discretos. Además, el grupo ColdRiver habría abandonado por completo su antiguo malware “LostKeys” para centrarse en estas nuevas variantes mucho más efectivas.
Una amenaza en constante evolución
Las operaciones de ColdRiver, activas desde al menos 2017, han sido vinculadas en múltiples ocasiones al Servicio Federal de Seguridad ruso (FSB). A pesar de sanciones y bloqueos de infraestructura, el grupo continúa adaptándose rápidamente, demostrando una capacidad de reinvención preocupante.
Hasta ahora, los investigadores han identificado campañas activas entre junio y septiembre de este año, enfocadas en objetivos gubernamentales y diplomáticos de alto valor. Si bien los captchas falsos son la puerta de entrada, los ataques podrían extenderse a plataformas corporativas y redes privadas.
El informe de Google también menciona que los hackers podrían estar utilizando esta nueva técnica para reinfectar a víctimas previamente comprometidas a través de campañas de phishing, obteniendo así un acceso más profundo a los dispositivos y sus datos.
La conclusión es clara: ni siquiera los sistemas diseñados para distinguir humanos de máquinas son completamente seguros. Frente a amenazas como NOROBOT y MAYBEROBOT, los usuarios deben desconfiar incluso de las verificaciones más comunes en la web, especialmente cuando provienen de enlaces o páginas no verificadas.