🧠 COLDRIVER lanza tres nuevos malware: así engañan incluso a usuarios expertos

¿Alguna vez te ha aparecido un CAPTCHA pidiéndote “verificar que no eres un robot”?
Imagina que, al hacerlo, en realidad estés ejecutando comandos maliciosos en tu propio sistema.
Eso es exactamente lo que está ocurriendo con la nueva ofensiva del grupo ruso COLDRIVER, que acaba de estrenar tres familias de malware con capacidades muy avanzadas.

⚙️ Un grupo conocido que se reinventa

COLDRIVER —también identificado como UNC4057, Star Blizzard o Callisto— es un actor vinculado al gobierno ruso con una larga trayectoria en espionaje digital y robo de credenciales.
Sus víctimas históricas incluyen funcionarios de gobiernos occidentales, exoficiales de inteligencia y organizaciones diplomáticas.

Pero lo que preocupa ahora es su nueva generación de herramientas:

• 🧩 NOROBOT

• 🤖 YESROBOT

• 🐍 MAYBEROBOT

Estas tres familias de malware detectadas por el Google Threat Intelligence Group (GTIG) representan una evolución técnica muy acelerada, continuando el camino iniciado por su malware anterior LOSTKEYS.

🎭 Un ataque disfrazado de verificación CAPTCHA

El vector inicial de ataque es particularmente astuto: un señuelo estilo “ClickFix”.
La víctima recibe un enlace o correo que parece legítimo y se le pide resolver una verificación CAPTCHA.
Pero al hacerlo, el usuario ejecuta —sin saberlo— comandos de PowerShell maliciosos, diseñados para instalar un backdoor y abrir el sistema a control remoto.

Lo más preocupante es que no se necesita descargar nada visible: basta con un clic y permisos de usuario para que el ataque se concrete.

NOROBOT y MAYBEROBOT, además, se vinculan con otras herramientas ya observadas en campañas previas, como BAITSWITCH y SIMPLEFIX, usadas para persistencia y evasión de detección.

🚀 Una evolución que no se detiene

Según los analistas de Google, COLDRIVER ha aumentado drásticamente la velocidad con la que desarrolla y despliega nuevas variantes de malware.
Esto indica una operación bien financiada y activa, con objetivos de inteligencia estratégica, probablemente al servicio del espionaje estatal ruso.

En pocas palabras: estamos viendo una industrialización del ciberespionaje, con herramientas que pasan de prototipo a operativo en cuestión de semanas.

🛡️ Qué puedes hacer si trabajas en TI

Aunque los blancos de COLDRIVER suelen ser perfiles de alto nivel, las técnicas que usan pueden replicarse fácilmente contra empresas, universidades o incluso usuarios técnicos.

Buenas prácticas para protegerte y proteger a tus clientes:

1. Desconfía de CAPTCHA o formularios que ejecuten scripts. Si algo te pide abrir PowerShell o ejecutar comandos, es casi seguro un fraude.

2. Bloquea PowerShell remoto en entornos donde no sea necesario.

3. Aplica políticas de restricción de ejecución (AppLocker o WDAC) para limitar scripts desconocidos.

4. Mantén navegadores y sistemas actualizados.

5. Activa la navegación segura mejorada en Chrome o Edge.

6. Si manejas información sensible, considera inscribirte en el Programa de Protección Avanzada de Google.

💬 En resumen

COLDRIVER está demostrando que el phishing tradicional ya no basta: ahora combina engaños visuales, scripts encubiertos y automatización para infiltrarse en sistemas.
Y aunque su blanco sean diplomáticos o funcionarios, sus tácticas son perfectamente reutilizables contra cualquier organización.

Porque en ciberseguridad, lo que hoy es espionaje estatal, mañana puede ser el ataque que llega a tu empresa o tu cliente.