El 7 de mayo de 2025, el equipo de Threat Intelligence de Google informó que COLDRIVER, un grupo de espionaje cibernético respaldado por Rusia, ha desarrollado una nueva cepa de malware llamada “LOSTKEYS”. Este malware marca una transición de las tácticas tradicionales de phishing del grupo hacia ataques cibernéticos más avanzados.
Características clave del malware LOSTKEYS:
Exfiltración de datos: LOSTKEYS está diseñado para robar archivos de extensiones y directorios específicos en sistemas infectados.
Vigilancia del sistema: El malware recopila información detallada del sistema y monitorea los procesos en ejecución, enviando estos datos a los servidores de COLDRIVER.
Despliegue sofisticado:
Un sitio de cebo muestra un CAPTCHA falso al usuario.
Se descarga un script de PowerShell en el portapapeles del usuario.
El script se ejecuta y obtiene la carga útil final.
El malware se instala en el sistema.
Google identificó la dirección IP “165.227.148[.]68” asociada con esta actividad maliciosa y agregó los sitios web relacionados a su función de Navegación Segura para proteger a los usuarios.
Antecedentes de COLDRIVER:
COLDRIVER, también conocida como Blue Callisto, BlueCharlie y Star Blizzard, está activa desde al menos 2019. El grupo está vinculado al Servicio Federal de Seguridad de Rusia y es conocido por atacar a individuos y organizaciones occidentales de alto perfil, incluidos afiliados de la OTAN, ONG y periodistas, con el fin de recopilar inteligencia.
A principios de 2025, COLDRIVER apuntó a asesores de gobiernos occidentales, personal militar y personas vinculadas a Ucrania. En 2022, el grupo fue responsable de violaciones en tres laboratorios de investigación nuclear de EE. UU. y de la filtración de correos electrónicos del exjefe de inteligencia británico Richard Dearlove y de figuras pro-Brexit.
Implicaciones:
La aparición de LOSTKEYS subraya el panorama de amenazas en evolución que representan los actores cibernéticos patrocinados por el Estado. Se recomienda a las organizaciones, especialmente las del sector gubernamental y no gubernamental, que refuercen sus medidas de ciberseguridad, permanezcan alerta ante intentos de phishing y mantengan sus sistemas actualizados.