La campagna malware COLDRIVER, attribuita al gruppo APT russo omonimo, segna una nuova ondata di attacchi informatici contro obiettivi in Russia e all’estero. Questo gruppo, noto anche come Callisto, Star Blizzard e UNC4057, è attivo dal 2019 e si è distinto per la sua evoluzione tecnica, passando da classici attacchi di spear-phishing a operazioni multistadio con strumenti personalizzati. Recentemente, è stata osservata una campagna denominata ClickFix, rilevata dai ricercatori di Zscaler ThreatLabz, che sfrutta due nuove famiglie di malware: BAITSWITCH e SIMPLEFIX.
Il vettore d’attacco ClickFix
Il vettore d’attacco ClickFix, già documentato in passato, utilizza siti falsi che simulano un controllo CAPTCHA, inducendo la vittima a eseguire comandi PowerShell dannosi. In questa variante, un DLL malevolo chiamato BAITSWITCH viene eseguito tramite la finestra di dialogo Esegui di Windows, simulando il completamento di una verifica CAPTCHA. Questo DLL si collega a un dominio controllato dagli attaccanti per scaricare il backdoor SIMPLEFIX, presentando invece un documento esca tramite Google Drive per non insospettire la vittima.
Il malware BAITSWITCH comunica con il server per inviare informazioni sul sistema, ricevere istruzioni e stabilire la persistenza, memorizzando payload cifrati nel registro di sistema di Windows. Inoltre, scarica uno stager PowerShell che si collega a un ulteriore server esterno per completare l’infezione. SIMPLEFIX funge da vero e proprio backdoor, consentendo l’esecuzione di script, comandi e binari PowerShell scaricati da URL remoti, e raccoglie dati dai dispositivi infetti, in particolare file di specifiche tipologie e cartelle già prese di mira da campagne precedenti come LOSTKEYS.
Altre minacce attive su target russi
Parallelamente a COLDRIVER, altre due minacce si stanno concentrando su target russi: il gruppo BO Team e Bearlyfy. BO Team, noto anche come Black Owl e Hoody Hyena, ha lanciato phishing tramite archivi RAR protetti da password che contengono una nuova variante del malware BrockenDoor, scritto in C#, e versioni aggiornate della backdoor ZeronetKit. Quest’ultima permette agli attaccanti di accedere da remoto, eseguire comandi, trasferire file e creare tunnel di rete, supportando anche l’esecuzione di shellcode e la modifica dei server di comando.
Bearlyfy, gruppo emerso dal gennaio 2025, utilizza ransomware come LockBit 3.0 e Babuk per colpire aziende russe, partendo da piccole realtà per poi passare a obiettivi più grandi. Nonostante alcune sovrapposizioni con il gruppo PhantomCore, Bearlyfy si distingue per azioni rapide e mirate, puntando all’encryption e distruzione dei dati.