La actividad cibernética del grupo ruso respaldado por el estado Star Blizzard (también conocido como ColdRiver, UNC4057 o Callisto) ha escalado con nuevas familias de malware que muestran un enfoque más sofisticado.
Luego de la exposición del malware LostKeys, el grupo ha desarrollado herramientas maliciosas denominadas NOROBOT, YESROBOT y MAYBEROBOT, utilizadas en campañas de espionaje dirigidas a gobiernos, periodistas, think tanks y organizaciones no gubernamentales.
1. De LostKeys a Robot Malware
Star Blizzard utilizaba LostKeys para exfiltrar datos de objetivos específicos mediante el monitoreo de directorios y extensiones seleccionadas.
Aunque, tras la divulgación pública de este malware por parte de Google Threat Intelligence Group (GTIG), el grupo abandonó LostKeys y desplegó rápidamente nuevos malware en tan solo cinco días, demostrando su capacidad de adaptación inmediata.
2. NOROBOT: El malware que engaña a los usuarios
NOROBOT es un malware DLL entregado a través de ataques de ingeniería social denominados ClickFix, que simulan un desafío de CAPTCHA con el mensaje “I am not a robot”.
- Método de infección: la víctima ejecuta sin saberlo NOROBOT mediante
rundll32. - Persistencia: modifica el registro de Windows y crea tareas programadas.
- Preparación de payloads: descarga Python 3.8 en los sistemas Windows para ejecutar backdoors basados en Python.
- Conocido por Zscaler como BAITSWITCH, su payload final se llama SIMPLEFIX.
NOROBOT ha sido continuamente desarrollado entre mayo y septiembre de 2025, mejorando su sigilo y efectividad en cada iteración.
3. YESROBOT: Backdoor temporal
YESROBOT es un backdoor basado en Python, diseñado para operar junto con NOROBOT, que fue rápidamente abandonado por los atacantes debido a que la instalación de Python era un artefacto evidente que podía ser detectado.
Este cambio refleja la preferencia de Star Blizzard por herramientas más discretas y difíciles de rastrear.
4. MAYBEROBOT: La amenaza actual
El malware MAYBEROBOT es actualmente una herramienta activa del grupo, que es un script de PowerShell (también llamado SIMPLEFIX por Zscaler).
Comandos principales:
- Descargar y ejecutar payloads desde URLs específicas.
- Ejecutar comandos en la línea de comandos de Windows.
- Ejecutar bloques de PowerShell arbitrarios.
La comunicación con los servidores de comando y control (C2) permite que Star Blizzard reciba retroalimentación sobre la ejecución de sus ataques.
La transición a PowerShell muestra la intención del grupo de evadir detección, reduciendo la visibilidad que generaba Python.
5. Evolución de la cadena de infección
El grupo ha refinado su cadena de ataque:
- Fase inicial: entrega compleja de NOROBOT y YESROBOT.
- Fase simplificada: NOROBOT entrega MAYBEROBOT directamente.
- Fase avanzada: distribución de claves criptográficas en varios componentes para proteger el payload final, dificultando su análisis y reconstrucción.
Esta táctica asegura que, si falta un componente, el payload no pueda ser descifrado, complicando la labor de los defensores.
6. Operaciones y objetivos
Las campañas se han registrado entre junio y septiembre de 2025.
Es probable que los ataques se dirijan a víctimas previamente comprometidas por phishing, buscando inteligencia adicional de sus dispositivos.
El grupo está asociado al servicio de inteligencia ruso FSB y activo desde al menos 2017.
7. Medidas de defensa
Para protegerse contra NOROBOT, YESROBOT y MAYBEROBOT:
- Monitorear páginas de tipo CAPTCHA sospechosas (ClickFix) y ejecución de
rundll32. - Auditar modificaciones del registro y tareas programadas en endpoints.
- Supervisar actividad de PowerShell inusual o remota.
- Implementar detección basada en IoCs y reglas YARA publicadas por GTIG.
Conclusión
Star Blizzard continúa evolucionando rápidamente sus herramientas maliciosas para mantenerse stealth y resiliente, abandonando malware obsoleto y adaptando sus ataques a entornos más sofisticados.
La combinación de ingeniería social con malware modular hace que la vigilancia constante, el análisis de IoCs y la auditoría de sistemas sean esenciales para defenderse de estas operaciones de espionaje altamente dirigidas.