Google ha vinculado un nuevo malware denominado LostKeys con el grupo de hackers respaldado por el Estado ruso, ColdRiver.
Desde principios de 2025, ColdRiver ha estado utilizando LostKeys en una serie de ataques de espionaje dirigidos a gobiernos occidentales, periodistas, think tanks y organizaciones no gubernamentales (ONG).
Estos ataques se caracterizan por el uso de ingeniería social avanzada para robar información sensible y acceder a sistemas específicos.
Qué es el Malware LostKeys
Según el Google Threat Intelligence Group (GTIG), el malware LostKeys se despliega en casos muy selectivos como parte de los ataques ClickFix.
Estos ataques utilizan scripts de PowerShell maliciosos para engañar a las víctimas y ejecutar payloads adicionales en sus dispositivos.
Al ejecutarse, LostKeys roba archivos de una lista específica de extensiones y directorios predeterminados, además de enviar información del sistema y los procesos en ejecución a los atacantes.
“LOSTKEYS es capaz de robar archivos de una lista codificada de extensiones y directorios, además de enviar información del sistema y los procesos en ejecución al atacante”, indicó el GTIG.
Este malware se encuentra en línea con los objetivos habituales del grupo ColdRiver que suelen robar credenciales y utilizarlas para acceder a correos electrónicos y contactos de las víctimas.
En casos más selectivos, los atacantes también despliegan otro malware, denominado SPICA, para acceder a documentos sensibles.
Tácticas de Espionaje del Grupo ColdRiver
El grupo ColdRiver es conocido por su sofisticada capacidad en ingeniería social y recolección de inteligencia de fuentes abiertas (OSINT).
Desde al menos 2017, han utilizado estas habilidades para investigar y atraer a sus objetivos, incluidos funcionarios gubernamentales, organizaciones de defensa y ONG.
A pesar de la alta selectividad de sus ataques, ColdRiver no es el único grupo respaldado por un estado que ha utilizado ataques de ClickFix. Kimsuky (Corea del Norte), MuddyWater (Irán), APT28 y UNK_RemoteRogue (Rusia) han recurrido a las mismas tácticas en campañas de espionaje en los últimos meses.
El Impacto de LostKeys y la Evolución del Grupo ColdRiver
El malware LostKeys es solo la última variante en una serie de ataques de phishing selectivos que ColdRiver ha lanzado desde la invasión de Ucrania.
En diciembre de 2023, agencias cibernéticas de los Five Eyes alertaron sobre las campañas de spear-phishing dirigidas a organizaciones gubernamentales y de defensa, con un enfoque particular en objetivos relacionados con la industria de defensa y las instalaciones del Departamento de Energía de EE. UU..
Intervención de Microsoft y el Departamento de Justicia de EE. UU.
En 2022, el Microsoft Threat Intelligence Center (MSTIC) interrumpió una operación de ingeniería social de ColdRiver, donde los atacantes utilizaron cuentas de Microsoft para robar correos electrónicos y monitorear actividades de organizaciones y personas influyentes en países de la OTAN.
En diciembre de 2023, el Departamento de Estado de EE. UU. sancionó a dos operadores de ColdRiver, uno de los cuales era un oficial de la FSB (Servicio Federal de Seguridad de Rusia).
Estos individuos también fueron acusados por el Departamento de Justicia de EE. UU. por su participación en una campaña global de hacking organizada por el gobierno ruso.
En respuesta, el Departamento de Estado ofrece recompensas de hasta 10 millones de dólares por información que ayude a localizar o identificar a más miembros de ColdRiver.
Conclusión
El grupo ColdRiver sigue siendo una amenaza significativa en el ámbito del espionaje cibernético respaldado por el estado, utilizando malware avanzado como LostKeys para infiltrarse en los sistemas de sus objetivos.
Los ataques no solo afectan a entidades gubernamentales, sino también a organizaciones internacionales y de la sociedad civil, lo que pone en evidencia la vulnerabilidad de las infraestructuras críticas en todo el mundo.
Es crucial que tanto gobiernos como empresas implementen medidas de ciberseguridad proactivas para prevenir futuros incidentes de espionaje y protegerse contra estos ataques selectivos y sofisticados.