Les chercheurs préviennent que les pivotements rapides et le filtrage ciblé du groupe compliquent la détection et nécessitent des défenses basées sur le comportement.
Selon le Threat Intelligence Group (GTIG) de Google Cloud, des pirates informatiques russes soutenus par l’État utilisent de fausses pages CAPTCHA « Je ne suis pas un robot » pour diffuser de nouvelles souches de logiciels malveillants d’espionnage, marquant une nouvelle évolution dans les tactiques du groupe ColdRiver qui cible depuis longtemps les gouvernements occidentaux, les groupes de réflexion et les organisations médiatiques.
Le groupe, également connu sous le nom de Star Blizzard, UNC4057 ou Callisto, a remplacé son malware LostKeys précédemment exposé par une nouvelle suite d’outils, notamment NOROBOT, YESROBOT et MAYBEROBOT.
Ces programmes peuvent échapper à la détection grâce à des chaînes de livraison à plusieurs étapes et des charges utiles cryptées. Google a déclaré que ce changement était intervenu quelques jours seulement après que la société ait publié des détails techniques sur LostKeys plus tôt cette année.
La dernière campagne de ColdRiver utilise des tactiques d’ingénierie sociale connues sous le nom de « ClickFix », incitant les victimes à exécuter du code malveillant déguisé en étapes de vérification CAPTCHA.
« NOROBOT et sa chaîne d’infection précédente ont été soumis à une évolution constante – initialement simplifiée pour augmenter les chances de succès du déploiement, avant de réintroduire la complexité en divisant les clés de cryptographie », a déclaré GTIG. « Le retour à des chaînes de livraison plus complexes augmente la difficulté de suivre leurs campagnes. Ce développement constant met en évidence les efforts du groupe pour échapper aux systèmes de détection de son mécanisme de livraison pour une collecte continue de renseignements contre des cibles de grande valeur. »
Cette technique montre une tendance croissante dans les opérations parrainées par l’État qui combinent manipulation psychologique et logiciels malveillants modulaires furtifs pour contourner les défenses de l’entreprise.
« Le passage rapide de ColdRiver d’une infrastructure exposée à de nouvelles méthodes de livraison telles que de faux CAPTCHA en révèle beaucoup sur leurs capacités », a déclaré Akshat Tyagi, responsable associé des pratiques chez HFS Research. « Ils sont très agiles sur le plan opérationnel car, en quelques semaines, ils ont modifié leur infrastructure, réécrit les mécanismes de livraison et déployé de nouvelles charges utiles. Il semble qu’il s’agisse d’une équipe bien financée et dotée de ressources suffisantes. Ils disposent probablement d’une architecture modulaire leur permettant de remplacer des composants, et ils ont également accès à des talents d’ingénierie mondiaux. «
À l’intérieur des découvertes
Google a déclaré que les nouvelles familles de logiciels malveillants étaient en développement actif de mai à septembre 2025, les attaquants affinant à plusieurs reprises leurs outils pour échapper à la détection. Le rythme des mises à jour montre la capacité de ColdRiver à reconstruire son ensemble d’outils presque immédiatement après son exposition publique.
Le premier exemple de NOROBOT utilisait un schéma cryptographique qui répartissait la clé de déchiffrement entre plusieurs composants qui devaient être recombinés dans un ordre spécifique pour déchiffrer la charge utile finale.
YESROBOT est décrit dans le rapport de Google comme une porte dérobée Python minimale qui nécessite que chaque commande soit Python valide, ce qui rend les fonctions de base telles que le téléchargement de fichiers ou la récupération de documents plus lourdes à mettre en œuvre. Cette dernière version de NOROBOT a été considérablement simplifiée, récupérant un seul fichier qui, dans les cas observés, installait un script de connexion pour établir la persistance.
« Les changements spécifiques apportés entre les variantes de NOROBOT mettent en évidence les efforts persistants du groupe pour échapper aux systèmes de détection tout en assurant une collecte continue de renseignements contre des cibles de grande valeur », indique le rapport.
Tactiques et stratégies évolutives
Les analystes ont déclaré que ColdRiver, qui s’est concentré pendant des années sur le vol d’identifiants et la compromission des comptes de messagerie, s’oriente vers des intrusions en plusieurs étapes qui dépendent des utilisateurs pour exécuter du code malveillant.
En utilisant des pages ClickFix qui imitent les écrans de vérification CAPTCHA, le groupe peut contourner les filtres de sécurité des e-mails et diffuser des logiciels malveillants directement sur les appareils des victimes, augmentant ainsi le risque d’infection.
« À ce stade, il est difficile d’attendre des utilisateurs finaux qu’ils identifient et rejettent les CAPTCHA frauduleux, puisque le CAPTCHA fait partie du processus d’accès standard », a déclaré l’analyste en cybersécurité Sunil Varkey. « La seule option est de surveiller les changements de comportement, la télémétrie des personnes vivant hors du territoire et les activités anormales à l’aide d’outils tels que l’EDR et le NDR. Les organisations doivent comprendre comment les utilisateurs et les hôtes se comportent dans des scénarios spécifiques et surveiller les écarts, ce qui nécessite d’avoir une base de référence solide et de l’appliquer. »
Ce passage du simple phishing aux attaques interactives en plusieurs étapes montre la capacité de ColdRiver à s’adapter à une meilleure sensibilisation des utilisateurs à la cybersécurité. Les leurres traditionnels sont moins efficaces car les gens deviennent prudents lorsqu’ils cliquent sur des liens suspects, mais les pages CAPTCHA semblent toujours familières et sûres, une confiance que ColdRiver a appris à exploiter.
« Tactiquement, cela indique l’accent mis par ColdRiver sur la sécurité opérationnelle (OPSEC) et la furtivité », a déclaré Sanjaya Kumar, PDG de SureShield. « Le malware utilise des communications cryptées et des techniques d’anti-analyse, permettant un accès prolongé pendant des mois sans détection. La sélection des cibles reste de grande valeur, notamment les ONG, les dissidents, les conseillers politiques et les responsables occidentaux, mais la méthode CAPTCHA s’étend également à des cibles plus douces dans les groupes de réflexion et le monde universitaire, où le vol rapide d’informations d’identification peut conduire à des chaînes d’espionnage. «
Pour les défenseurs, cela souligne la nécessité d’aller au-delà de l’authentification traditionnelle à deux facteurs et d’adopter une surveillance comportementale et contextuelle pour identifier les intrusions furtives assistées par l’utilisateur.
Options de défense pour les entreprises
Étant donné que les attaquants ciblent des organisations et des individus spécifiques, ils peuvent utiliser le filtrage côté serveur pour transmettre des logiciels malveillants uniquement à des victimes sélectionnées, ce qui rend difficile la détection à grande échelle, selon les analystes. La détection est encore plus compliquée lorsque les fournisseurs de sécurité mondiaux n’ont pas encore développé ou hiérarchisé les signatures pour les nouvelles attaques.
« Les défenseurs doivent être pleinement conscients qu’il ne s’agit pas d’un simple gang de phishing utilisant des logiciels malveillants disponibles dans le commerce », a déclaré Varkey. « Il semble être lié à l’État ou parrainé par l’État, avec des ressources importantes et la capacité de s’adapter rapidement à de nouveaux outils et méthodes de livraison. Les défenseurs ne peuvent pas dépendre uniquement des IOC, et les organisations peuvent avoir besoin de renforcer leur posture de sécurité pour protéger de manière significative leurs actifs de grande valeur. »
Kumar a ajouté qu’une défense efficace nécessite une approche à plusieurs niveaux et axée sur le comportement qui utilise des outils pour surveiller l’exécution anormale de PowerShell, les appels réseau inhabituels aux serveurs de commande et de contrôle ou les modèles de logiciels malveillants sans fichier.
Les équipes de sécurité doivent établir des lignes de base pour une activité normale et générer des alertes lorsque des écarts se produisent, tels que des tentatives de connexion inattendues à partir d’adresses IP étrangères ou une exfiltration rapide de données. « Concentrez-vous sur la construction d’une architecture de confiance zéro et appliquez l’accès au moindre privilège et la micro-segmentation pour limiter les mouvements latéraux », a déclaré Kumar. « Des analyses continues de gestion des vulnérabilités pour corriger les points finaux avant exploitation, combinées à une formation de sensibilisation à la sécurité sur le phishing interactif (par exemple, des attaques CAPTCHA simulées), pour réduire les taux de réussite. Les réponses aux incidents doivent être solidifiées, donc simulez des attaques en plusieurs étapes pour tester le confinement. Une cyber-hygiène proactive – des correctifs réguliers, le renforcement des points finaux et la chasse aux menaces sont essentiels. «
