Il gruppo di hacker collegato alla Russia conosciuto come COLDRIVER è stato recentemente individuato mentre diffonde un nuovo malware chiamato LOSTKEYS, nell’ambito di una campagna di spionaggio informatico sofisticata. Questa attività malevola sfrutta tecniche di social engineering basate su falsi CAPTCHA, noti come ClickFix, per indurre le vittime a eseguire comandi PowerShell sui propri sistemi. L’obiettivo principale di queste campagne sono consulenti e funzionari di governi occidentali, militari, giornalisti, think tank e ONG, oltre a persone collegate all’Ucraina.

Il malware LOSTKEYS ha la capacità di rubare file specifici da cartelle prestabilite, inviare informazioni dettagliate sul sistema e sui processi in esecuzione direttamente agli attaccanti. Le prime tracce di questa minaccia sono state rilevate tra gennaio e aprile 2025, ma Google ha riscontrato artefatti di LOSTKEYS già da dicembre 2023 mascherati da strumenti legittimi come quelli della piattaforma Maltego.

La nuova strategia di COLDRIVER rappresenta una significativa evoluzione rispetto alle precedenti campagne di phishing orientate al furto di credenziali. Dopo SPICA, LOSTKEYS è il secondo malware personalizzato attribuito a questo gruppo, che opera anche sotto altri nomi come Callisto, Star Blizzard e UNC4057. Non solo il malware viene distribuito in modo mirato, ma ogni catena di infezione utilizza identificativi ed elementi di cifratura unici, rendendo più difficile l’analisi e il tracciamento.

Il vettore di attacco e la tecnica ClickFix

Il vettore di attacco inizia generalmente con una pagina web fasulla che mostra un CAPTCHA falso. Le vittime vengono istruite a copiare e incollare un comando PowerShell tramite la finestra Esegui di Windows. Questo comando scarica un payload da server remoti, che agisce come downloader per uno stadio successivo, ma esegue controlli per evitare l’esecuzione in ambienti virtuali. Il payload finale decodifica e avvia LOSTKEYS, consentendo il furto di dati sensibili.

La tecnica ClickFix non è esclusiva di COLDRIVER: negli ultimi mesi è stata adottata anche da altri cybercriminali, inclusi quelli che diffondono trojan bancari come Lampion e infostealer come Atomic Stealer, sfruttando email di phishing con allegati ZIP e landing page con istruzioni per la vittima. In alcuni casi, la strategia è stata combinata con EtherHiding, una tattica che sfrutta smart contract sulla Binance Smart Chain per nascondere il malware, aumentando così la resilienza e la difficoltà di rilevamento.

Si stima che questa ondata di attacchi abbia compromesso migliaia di siti legittimi, utilizzando JavaScript offuscato e infrastrutture decentralizzate per massimizzare la diffusione dei malware e rendere più complessa la difesa.