Em 7 de maio de 2025, a equipe Threat Intelligence do Google relatou que o COLDRIVER, um grupo de espionagem cibernética apoiado pela Rússia, desenvolveu uma nova cepa de malware chamada “LOSTKEYS”. Este malware representa uma mudança das táticas tradicionais de phishing do grupo para ataques cibernéticos mais avançados.
Principais recursos do malware LOSTKEYS:
Exfiltração de dados: o LOSTKEYS é projetado para roubar arquivos de extensões e diretórios específicos em sistemas infectados.
Vigilância do sistema: o malware coleta informações detalhadas do sistema e monitora processos em execução, enviando esses dados aos servidores do COLDRIVER.
Implantação sofisticada:
Um site de isca apresenta um CAPTCHA falso ao usuário.
Um script PowerShell é baixado para a área de transferência do usuário.
O script é executado e recupera o payload final.
O malware é instalado no sistema.
O Google identificou o endereço IP “165.227.148[.]68” associado a essa atividade maliciosa e adicionou os sites relacionados ao recurso Safe Browsing para proteger os usuários.
Contexto sobre o COLDRIVER:
O COLDRIVER, também conhecido como Blue Callisto, BlueCharlie e Star Blizzard, está ativo desde pelo menos 2019. O grupo é vinculado ao Serviço Federal de Segurança da Rússia e é conhecido por visar indivíduos e organizações ocidentais de alto perfil, incluindo afiliados da OTAN, ONGs e jornalistas, com foco na coleta de inteligência.
No início de 2025, o COLDRIVER mirou conselheiros de governos ocidentais, militares e pessoas conectadas à Ucrânia. Em 2022, o grupo foi responsável por invasões em três laboratórios de pesquisa nuclear dos EUA e pelo vazamento de e-mails do ex-chefe de inteligência britânico Richard Dearlove e de figuras pró-Brexit.
Implicações:
O surgimento do LOSTKEYS destaca o cenário de ameaças em constante evolução representado por atores cibernéticos patrocinados por Estados. Organizações, especialmente nos setores governamental e não governamental, devem reforçar suas medidas de cibersegurança, permanecer vigilantes contra tentativas de phishing e manter sistemas atualizados para mitigar vulnerabilidades.