En TecnetOne siempre estamos al tanto de las amenazas cibernéticas más recientes, y una de las que más nos ha llamado la atención en las últimas semanas es la evolución del grupo de hackers Star Blizzard, respaldado por el estado ruso.
Este grupo ha intensificado sus operaciones con nuevas familias de malware en constante cambio, como NoRobot y MaybeRobot, integradas en complejas cadenas de ataque que comienzan con campañas de ingeniería social tipo ClickFix, diseñadas para engañar al usuario desde el primer clic.
También conocido como ColdRiver, UNC4057 o Callisto, Star Blizzard dejó de usar el malware LostKeys menos de una semana después de que se publicara un análisis técnico sobre él, y rápidamente pasó a utilizar las herramientas de la familia Robot con más agresividad que nunca.
Según un informe de mayo del Grupo de Inteligencia de Amenazas de Google (GTIG), LostKeys fue utilizado en ataques dirigidos a gobiernos occidentales, periodistas, think tanks y ONGs. Todo apunta a que Star Blizzard sigue perfeccionando sus tácticas para comprometer objetivos de alto perfil con métodos cada vez más sofisticados.
El malware que estaba utilizando el grupo tenía un objetivo claro: ciberespionaje. Estaba diseñado para robar datos específicos, buscando archivos según una lista predefinida de extensiones y carpetas que le indicaban exactamente qué debía exfiltrar del sistema infectado.
Sin embargo, tras la publicación del análisis técnico de LostKeys por parte de los investigadores de Google Threat Intelligence Group (GTIG), el grupo ColdRiver decidió abandonar esa herramienta por completo. En menos de una semana ya estaban desplegando nuevas variantes de malware, entre ellas NOROBOT, YESROBOT y MAYBEROBOT, lo que indica una capacidad de adaptación muy rápida.
Según los expertos de GTIG, el cambio comenzó con NOROBOT, una DLL maliciosa que se distribuía a través de ataques tipo ClickFix. Estos ataques llevaban a la víctima a páginas falsas con un CAPTCHA del estilo "No soy un robot", que parecían inofensivas, pero en realidad engañaban al usuario para ejecutar el malware manualmente.
El truco estaba en hacer que la víctima creyera que debía pasar una verificación CAPTCHA para acceder a algún contenido o continuar con un proceso. Al hacer clic, sin saberlo, se ejecutaba un comando a través de rundll32, que iniciaba la DLL maliciosa NOROBOT como si fuera parte de un proceso legítimo de validación.
Este tipo de táctica muestra cómo los ciberdelincuentes están refinando sus métodos, combinando técnicas de ingeniería social, engaño visual y ejecución manual para saltarse las defensas tradicionales.
Página ClickFix utilizada para entregar NOROBOT (Fuente: Google)
Conoce más sobre: Ciberataques en México: Casos Reales y Cómo Protegerse
El malware NOROBOT ha estado evolucionando activamente desde mayo hasta septiembre, según reportes de Google. Durante ese tiempo, los investigadores lo han analizado junto con su carga útil, una puerta trasera diseñada para ofrecer acceso remoto al sistema comprometido.
Una de las primeras tácticas que utilizaba NOROBOT para asegurar su permanencia en el sistema era modificar el registro de Windows y crear tareas programadas, lo que le permitía mantenerse activo incluso después de reinicios o cierres del equipo.
En sus primeras versiones, NOROBOT descargaba e instalaba una copia completa de Python 3.8 para Windows. ¿El objetivo? Preparar el terreno para ejecutar otra puerta trasera, esta vez escrita en Python, conocida como YESROBOT.
Sin embargo, esta estrategia no duró mucho. Los expertos creen que la instalación visible de Python resultaba demasiado evidente para pasar desapercibida, por lo que el grupo detrás del malware decidió cambiar rápidamente de enfoque.
Abandonaron YESROBOT y la reemplazaron con una nueva puerta trasera más discreta: un script en PowerShell, identificado como MAYBEROBOT. Esta variante es más ligera, difícil de detectar y no requiere la instalación de software adicional en el sistema, lo que la convierte en una opción mucho más silenciosa y eficaz para mantener el acceso sin levantar sospechas.
Desde principios de junio, se empezó a detectar una versión mucho más simplificada de NOROBOT, cuyo principal objetivo es desplegar MAYBEROBOT, una puerta trasera ligera pero funcional que puede ejecutar tres acciones clave:
Descargar y ejecutar archivos desde una URL específica
Lanzar comandos directamente desde el símbolo del sistema
Ejecutar bloques personalizados de código PowerShell
Una vez que completa su tarea, MAYBEROBOT envía los resultados a varios servidores de comando y control (C2). Esto permite al grupo ColdRiver saber si la operación fue exitosa y si lograron establecer acceso dentro del sistema de la víctima.
Esta versión más ligera busca pasar desapercibida, pero sigue siendo efectiva para mantener el control remoto sin generar muchas señales de alerta.
Cadena de ataque actual de Coldriver (Fuente: Google)
Según Google, el desarrollo de MAYBEROBOT parece haberse estabilizado, y ahora los esfuerzos del grupo de amenazas están más centrados en hacer que NOROBOT sea más silencioso, más eficiente y mucho más difícil de detectar.
Los investigadores han notado una evolución interesante en la estrategia del grupo: pasaron de usar cargas complejas a versiones más simples, y luego nuevamente a una estructura más sofisticada. En este último enfoque, el malware se distribuye a través de una cadena de infección más elaborada, donde las claves criptográficas se dividen en múltiples fragmentos. El descifrado de la carga útil final solo es posible si todas las piezas se descargan correctamente y se ensamblan en el orden preciso.
Según el equipo de Google Threat Intelligence (GTIG), esto se hizo probablemente para complicar el análisis forense y evitar que los investigadores reconstruyan fácilmente la cadena completa del ataque. Si falta uno de los componentes, el malware no se ejecuta correctamente, lo que protege a los atacantes de una posible exposición.
Entre junio y septiembre, se han documentado múltiples ataques en los que ColdRiver entregó NOROBOT y sus cargas maliciosas a objetivos específicos. Estos incluyen organizaciones gubernamentales, grupos de investigación y otras entidades de alto interés.
ColdRiver suele desplegar su malware a través de campañas de phishing cuidadosamente dirigidas. Sin embargo, algo que aún desconcierta a los investigadores es por qué están utilizando ataques tipo ClickFix, que emplean falsos captchas "No soy un robot" para engañar a los usuarios.
Una posible explicación es que estos nuevos métodos se estén usando en dispositivos de víctimas que ya fueron comprometidas previamente a través de phishing. Si los atacantes ya robaron credenciales y correos electrónicos, podrían estar redirigiendo a esas mismas víctimas a nuevos ataques para extraer aún más información, directamente desde sus dispositivos locales.
Podría interesarte leer: Cómo Implementar un Programa de Concientización en Seguridad Digital
Desde TecnetOne, te recomendamos seguir estas buenas prácticas para protegerte de amenazas como NOROBOT, MAYBEROBOT y otros ataques avanzados basados en ingeniería social:
Desconfía de los captchas que descargan archivos: Un CAPTCHA legítimo nunca debería iniciar una descarga. Si eso ocurre, cierra la página inmediatamente.
Mantén el sistema y el software siempre actualizados: Asegúrate de tener al día tu sistema operativo, navegador, antivirus y cualquier otra herramienta crítica. Muchos ataques se aprovechan de fallos ya conocidos.
Utiliza soluciones de seguridad con detección de comportamiento: Tecnologías como EDR (Endpoint Detection and Response) pueden detectar amenazas nuevas que los antivirus tradicionales no identifican.
No hagas clic en enlaces sospechosos o inesperados: Verifica siempre los correos electrónicos, remitentes y enlaces antes de hacer clic, especialmente si no esperabas recibirlos.
Capacita a tu equipo o entorno en ciberseguridad básica: La mayoría de los ataques exitosos comienzan con un error humano. La formación en phishing y buenas prácticas digitales es clave.
Limita el acceso y aplica el principio de mínimo privilegio: Otorga solo los permisos necesarios a cada usuario. Así, si hay una brecha, el impacto será menor.
Supervisa el uso de PowerShell y rundll32: Estas herramientas legítimas de Windows también son usadas por los atacantes. Su uso inusual debe investigarse.
Haz copias de seguridad con frecuencia y almacénalas fuera de línea: Un backup actualizado y desconectado puede ser tu salvavidas en caso de una infección o pérdida de datos.
En TecnetOne, creemos que una buena defensa empieza con la prevención y la conciencia. Mantente informado, aplica estas prácticas y actúa con rapidez ante cualquier señal de alerta. Si necesitas asesoramiento o soporte en seguridad, estamos aquí para ayudarte.
Además, para apoyar a los equipos de seguridad en la detección y contención de estas amenazas, el informe de Google incluye una serie de indicadores de compromiso (IoC) y reglas YARA. Estas herramientas permiten identificar actividades maliciosas asociadas a NOROBOT, MAYBEROBOT y otras variantes utilizadas en esta campaña.