O Google Threat Intelligence Group (GTIG) acaba de soar o alarme sobre uma nova e preocupante movimentação do grupo de hackers russo COLDRIVER, também conhecido como Star Blizzard. Em um novo relatório, o GTIG revelou a descoberta de três novas famílias de malware — NOROBOT, YESROBOT e MAYBEROBOT —, indicando uma rápida evolução nas táticas e ferramentas usadas por esse grupo de espionagem cibernética.
Segundo o Google, o COLDRIVER vem inovando em seus métodos de infecção, usando até falsos CAPTCHAs para enganar vítimas e levá-las a executar comandos perigosos no Windows PowerShell. Essa abordagem representa um avanço técnico preocupante, demonstrando como o grupo se adapta rapidamente a cada tentativa de bloqueio ou exposição pública.
Mais do que uma simples atualização de malware, essa descoberta revela uma corrida armamentista digital: o COLDRIVER está aumentando a frequência de suas operações e ampliando seu alcance, mirando alvos de ONGs, acadêmicos, dissidentes políticos e entidades estratégicas em vários países.
O que é o grupo hacker COLDRIVER?
O COLDRIVER é um grupo de hackers patrocinado pelo Estado russo, amplamente conhecido por conduzir campanhas de espionagem cibernética e roubo de credenciais. Suas operações costumam ter como foco instituições políticas, organizações sem fins lucrativos, universidades e especialistas em segurança internacional.
Atuante desde pelo menos 2019, o COLDRIVER — também identificado por empresas de segurança como Star Blizzard ou Callisto Group — tem um histórico de ataques direcionados a indivíduos ligados à OTAN, Reino Unido e Estados Unidos, especialmente aqueles que criticam políticas do governo russo. O novo relatório do Google GTIG reforça que o grupo segue ativo e cada vez mais sofisticado.
A nova tática: do CAPTCHA falso ao PowerShell
A principal mudança observada pelo GTIG está no modus operandi das infecções. Em vez de recorrer apenas a e-mails de phishing tradicionais, o COLDRIVER passou a usar uma técnica mais criativa e convincente: falsos CAPTCHAs.
Nessa abordagem, a vítima é levada a um site aparentemente legítimo que exibe um prompt falso de verificação no estilo ClickFix — simulando uma checagem de segurança. O usuário, acreditando que precisa provar que não é um robô, é instruído a copiar e colar um comando do PowerShell na caixa “Executar” do Windows.
Ao fazer isso, a vítima executa um código malicioso que inicia o processo de infecção. Essa tática é especialmente perigosa porque contorna proteções tradicionais de navegadores e antivírus, explorando a confiança do usuário em verificações comuns da web.
A rápida evolução do arsenal: de LOSTKEYS para a família ROBOT
Em maio de 2025, o Google havia divulgado detalhes sobre um malware anterior do COLDRIVER, chamado LOSTKEYS. Poucos dias depois dessa exposição, os analistas do GTIG observaram que o grupo abandonou completamente o LOSTKEYS e começou a distribuir novas variantes de malware — uma resposta incrivelmente rápida para um grupo de espionagem.
A nova cadeia de infecção substituiu o LOSTKEYS pelos recém-nomeados NOROBOT, YESROBOT e MAYBEROBOT. Segundo o Google, essa evolução em apenas cinco dias demonstra o quanto o COLDRIVER está investindo em agilidade operacional e capacidade de adaptação.
Conheça os novos malwares: NOROBOT, YESROBOT e MAYBEROBOT
A cadeia de infecção
A infecção começa com uma isca batizada de COLDCOPY, que instala uma biblioteca DLL maliciosa chamada NOROBOT. Essa DLL atua como primeiro estágio do ataque, estabelecendo comunicação com servidores de comando e controle (C2) e preparando o ambiente para os implantes subsequentes.
O NOROBOT então baixa e executa um backdoor secundário, que pode variar entre as versões YESROBOT e MAYBEROBOT, dependendo da fase da campanha.
Os backdoors: YESROBOT vs. MAYBEROBOT
O YESROBOT foi o primeiro backdoor identificado. Baseado em Python, exigia que a vítima tivesse a instalação completa do Python no sistema, o que o tornava mais “barulhento” e fácil de detectar. Por isso, o Google acredita que ele foi usado apenas por um curto período de teste.
Pouco tempo depois, o COLDRIVER lançou o MAYBEROBOT, considerado o sucessor direto e muito mais eficiente. Desenvolvido em PowerShell, ele é discreto, modular e expansível, permitindo baixar novas cargas úteis, executar comandos arbitrários e manter persistência no sistema comprometido.
Empresas como a Zscaler rastreiam o NOROBOT e o MAYBEROBOT sob outros nomes — BAITSWITCH e SIMPLEFIX, respectivamente —, confirmando a correlação entre os códigos e o comportamento observados.
Conclusão: uma corrida armamentista digital
A descoberta do Google GTIG reforça um ponto crucial: o grupo russo COLDRIVER está em constante evolução, trocando ferramentas e técnicas com velocidade impressionante. Essa agilidade na criação e substituição de malwares mostra que as operações de espionagem digital patrocinadas por Estados seguem firmes, sofisticadas e com forte respaldo técnico.
Embora os ataques sejam direcionados a alvos específicos, a técnica do CAPTCHA falso é um lembrete importante para todos: nunca execute comandos que você não entende, especialmente quando copiados da internet. Se uma página solicitar que você cole algo no PowerShell ou no “Executar”, desconfie imediatamente.
Manter sistemas atualizados, ativar autenticação multifator e se informar sobre novas ameaças são passos fundamentais para reduzir os riscos de infecção e espionagem cibernética.
