COLDRIVER : Le Groupe de Menaces Russes Déploie un Nouveau Malware Après l'Exposition de LOSTKEYS

Séraphine Clairlune

COLDRIVER : Le Groupe de Menaces Russes Déploie un Nouveau Malware Après l’Exposition de LOSTKEYS

Dans un paysage cyber en constante évolution, les groupes de menaces étatiques continuent de développer des techniques d’attaque de plus en plus sophistiquées. Le groupe COLDRIVER, également connu sous les noms UNC4057, Star Blizzard et Callisto, a récemment fait les manchettes après avoir rapidement abandonné son malware LOSTKEYS suite à sa divulgation publique en mai 2025. Selon les recherches du Google Threat Intelligence Group (GTIG), ce groupe soutenu par l’État russe n’a mis que cinq jours pour déployer de nouvelles familles de malware, démontrant une accélération significative de sa vitesse de développement et de son agressivité opérationnelle.

COLDRIVER cible des personnalités haut placées associées à des ONG, des instituts de politique et des dissidents politiques, montrant une adaptabilité et une persistance face à un examen accru. Dans la pratique, nous observons que ce groupe utilise des mécanismes de livraison ingénieux, comme une chaîne de familles de malware livrées via un mécanisme mimant un défi CAPTCHA, une évolution de leurs leurres précédents COLDCOPY. Cette approche sophistiquée nécessite des défenses robustes et une veille constante des professionnels de la sécurité.

NOROBOT et la Chaîne d’Infection

L’élément central de cette campagne est NOROBOT, un fichier DLL malveillant distribué initialement via un leurre appelé « ClickFix ». Cette technique se fait passer pour un défi CAPTCHA, incitant les utilisateurs à vérifier qu’ils ne sont pas un robot, d’où le nom du malware. Une fois que l’utilisateur exécute le fichier via rundll32, NOROBOT initie une séquence qui se connecte à un serveur de commandement et de contrôle (C2) codé en dur pour récupérer la prochaine étape du malware.

Le GTIG note que NOROBOT a subi des mises à jour continues entre mai et septembre 2025. Les versions initiales étaient récupérées et installées dans un environnement complet Python 3.8, qui était ensuite utilisé pour exécuter une porte dérobée baptisée YESROBOT. Cette méthode laissait des traces évidentes, telles que l’installation de Python, qui pouvaient déclencher des alertes. En conséquence, COLDRIVER a remplacé YESROBOT par une porte dérobée plus épurée et plus furtive basée sur PowerShell : MAYBEROBOT.

Source : Selon le Google Threat Intelligence Group, COLDRIVER a abandonné son malware LOSTKEYS seulement cinq jours après sa divulgation publique, démontrant une agilité remarquable dans ses opérations.

Dans ses premières itérations, NOROBOT reposait sur l’obfuscation cryptographique, divisant les clés AES entre divers composants. Par exemple, une partie de la clé était stockée dans le Registre Windows, tandis que le reste était intégré dans des scripts Python téléchargés comme libsystemhealthcheck.py. Ces fichiers, hébergés sur des domaines tels que inspectguarantee[.]org, étaient essentiels pour déchiffrer et activer la porte dérobée finale. Cette approche complexe montre le niveau de sophistication des attaquants et nécessite des défenses tout aussi sophistiquées.

Techniques d’Obfuscation et de Contournement

Les premières versions de NOROBOT utilisaient plusieurs techniques pour éviter la détection :

  • Division des clés cryptographiques : Les clés AES étaient divisées entre le Registre Windows et les scripts Python téléchargés
  • Noms de fichiers variables : Les noms des fichiers changeaient à chaque campagne pour éviter la détection par les signatures
  • Hébergement de fichiers sur des domaines légitimes : Utilisation de domaines apparemment innocents pour héberger des composants malveillants
  • Chiffrement des communications : Les communications avec les serveurs C2 étaient chiffrées pour éviter l’interception

Ces techniques, bien que sophistiquées, laissaient des indices permettant aux chercheurs en sécurité d’identifier et d’analyser les campagnes. Dans la pratique, les équipes SOC doivent mettre en place des stratégies de détection comportementale plutôt que de se fier uniquement aux signatures traditionnelles.

YESROBOT - Une Porte Dérobée de Courte Durée

YESROBOT, une porte dérobée minimaliste en Python, n’a été observée que deux fois sur une fenêtre de deux semaines à la fin mai 2025. Les commandes étaient chiffrées AES et émises via HTTPS, avec des identifiants système inclus dans la chaîne User-Agent. Cependant, ses limitations, telles que la nécessité d’un interpréteur Python complet et son manque d’extensibilité, ont conduit COLDRIVER à l’abandonner rapidement.

Selon le GTIG, YESROBOT a servi de solution de repli, déployée à la hâte après l’exposition de LOSTKEYS. L’effort pour maintenir la continuité opérationnelle suggère que COLDRIVER était sous pression pour rétablir des points d’appui sur les systèmes précédemment compromis. Dans le contexte actuel des cybermenaces persistantes avancées (APT), cette capacité à s’adapter rapidement représente un défi majeur pour les défenseurs.

Les limitations techniques de YESROBOT incluaient :

  • Dépendance à Python : Nécessitait l’installation complète de l’environnement Python
  • Manque de polyvalence : Capacités limitées par rapport aux besoins opérationnels
  • Facilité de détection : Laissez des traces évidentes sur les systèmes compromis
  • Maintenance complexe : Difficulté à mettre à jour et à modifier le code distant

Ces faiblesses ont conduit à une évolution rapide vers une solution plus furtive et adaptable, démontrant la capacité d’innovation continue des groupes de menaces étatiques.

MAYBEROBOT - Le Nouvel Standard de COLDRIVER

Début juin 2025, le GTIG a identifié une version simplifiée de NOROBOT qui contournait complètement le besoin de Python. Cette nouvelle variante récupérait une seule commande PowerShell, qui établissait la persistance via un script de connexion et livrait un script fortement obfusqué connu sous le nom de MAYBEROBOT (également appelé SIMPLEFIX par Zscaler).

MAYBEROBOT supporte trois fonctions principales :

  1. Téléchargement et exécution de code à partir d’une URL spécifiée
  2. Exécution de commandes utilisant cmd.exe
  3. Exécution de blocs PowerShell

Il communique avec le serveur C2 en utilisant un protocole personnalisé, envoyant des accusés de réception et des sorties de commande à des chemins prédéfinis. Bien que minimal en fonctionnalité intégrée, l’architecture de MAYBEROBOT est plus adaptable et furtive que celle de YESROBOT. Le GTIG évalue que cette évolution marque un changement délibéré de COLDRIVER vers un ensemble d’outils plus flexible qui évite la détection en sautant l’installation de Python et en minimisant le comportement suspect.

Source : Les recherches du Google Threat Intelligence Group montrent que les groupes de menaces étatiques comme COLDRIVER réduisent leur empreinte numérique en abandonnant les dépendances logicielles visibles comme Python au profit d’approches plus natives comme PowerShell.

Dans le contexte des menaces persistantes avancées (APT), MAYBEROBOT représente une évolution significative dans la tactique de COLDRIVER. Sa capacité à exécuter du code PowerShell, à gérer des commandes système et à télécharger des payloads supplémentaires en fait une plateforme d’attaque polyvalente qui peut s’adapter à divers scénarios de compromission. Cette flexibilité est particulièrement préoccupante pour les organisations qui ne surveillent pas activement les activités suspectes liées à PowerShell.

Avantages de MAYBEROBOT par Rapport à YESROBOT

MAYBEROBOT présente plusieurs avantages significatifs par rapport à son prédécesseur :

  • Furtivité accrue : Moins de traces laissées sur les systèmes compromis
  • Exécution native : Utilisation de PowerShell intégré à Windows, pas besoin d’installer un environnement Python
  • Gestion des commandes améliorée : Meilleure gestion des commandes système et des scripts
  • Extensibilité : Architecture plus flexible pour l’ajout de nouvelles fonctionnalités
  • Évitement des défenses : Capacité à contourner plus facilement les solutions de sécurité basées sur le comportement

Ces avantages expliquent pourquoi COLDRIVER a rapidement adopté MAYBEROBOT comme solution principale, abandonnant ainsi l’approche moins efficace de YESROBOT.

L’Évolution Continue du Malware COLDRIVER

De juin à septembre 2025, le GTIG a observé COLDRIVER affiner continuellement NOROBOT et ses chaînes de livraison associées. Ces changements comprenaient la rotation des noms de fichiers et de l’infrastructure, la modification des noms d’exportation et des chemins DLL, et l’ajustement de la complexité pour équilibrer la furtivité et le contrôle opérationnel. Intéressamment, bien que NOROBOT ait vu de multiples itérations, MAYBEROBOT est resté largement inchangé, suggérant que le groupe est confiant dans ses capacités actuelles.

Cette évolution constante représente un défi majeur pour les professionnels de la sécurité, qui doivent constamment adapter leurs stratégies de détection et de réponse. Dans la pratique, les équipes SOC doivent adopter une approche proactive de la chasse aux menaces plutôt que de se contenter de réagir aux alertes générées par les solutions traditionnelles.

Stratégies d’Évolution de COLDRIVER

COLDRIVER a développé plusieurs stratégies pour maintenir l’efficacité de ses campagnes tout en évitant la détection :

  • Rotation des infrastructures : Changement fréquent de domaines, d’adresses IP et de certificats
  • Obfuscation du code : Techniques avancées pour masquer le véritable intent du code malveillant
  • Chiffrement des communications : Protocoles de chiffrement personnalisés pour éviter l’analyse du trafic
  • Persistance améliorée : Méthodes plus subtiles pour maintenir l’accès aux systèmes compromis
  • Anti-analyse : Techniques pour éviter l’analyse statique et dynamique du malware

Ces stratégies montrent une connaissance approfondie des techniques de défense et une capacité à les contourner efficacement. Pour les organisations, cela signifie qu’une approche multi-couches de la sécurité est essentielle pour détecter et contrer ces menaces avancées.

Recommandations de Protection Contre les Menaces COLDRIVER

Face à des menaces sophistiquées comme celles déployées par COLDRIVER, les organisations doivent mettre en place des défenses robustes et des stratégies proactives. Selon l’ANSSI, la détection des comportements anomaux est essentielle pour identifier les activités de groupes de menaces persistants avancés.

Mesures de Détection Clés

Pour détecter efficacement les campagnes de COLDRIVER, les organisations devraient implémenter les mesures suivantes :

  • Surveillance du trafic réseau : Recherche de communications suspectes avec des serveurs C2, en particulier celles utilisant des protocoles non standards
  • Analyse des scripts PowerShell : Surveillance des scripts PowerShell suspects, particulièrement ceux téléchargés depuis Internet ou exécutés avec des paramètres inhabituels
  • Détection des modifications du Registre : Surveillance des modifications suspectes du Registre Windows, en particulier dans les clés liées au démarrage automatique
  • Chasse aux menaces : Recherche active d’indicateurs de compromis basés sur les TTPs (Tactiques, Techniques et Procédures) connus de COLDRIVER
  • Analyse des fichiers DLL : Inspection des fichiers DLL exécutés avec rundll32, en particulier ceux provenant de sources non approuvées

Ces mesures, combinées à une solide culture de sécurité, peuvent aider à détecter les activités de COLDRIVER à un stade précoce de l’infection.

Stratégies de Défense

Au-delà de la détection, les organisations doivent développer des stratégies de défense proactives pour contrer les menaces COLDRIVER :

  1. Gestion des accès : Mettre en œuvre le principe du moindre privilège pour limiter l’impact d’une compromission
  2. Segmentation du réseau : Isoler les systèmes critiques pour empêcher la propagation latérale des attaquants
  3. Mises à jour régulières : Maintenir tous les systèmes et logiciels à jour pour corriger les vulnérabilités exploitées
  4. Formation des utilisateurs : Sensibiliser les utilisateurs aux techniques de phishing et de social engineering utilisées par COLDRIVER
  5. Réponse aux incidents : Mettre en place un plan de réponse aux incidents bien défini pour une intervention rapide en cas de compromission

Ces stratégies, basées sur les bonnes pratiques de l’ANSSI et d’autres organismes de sécurité, peuvent aider à réduire la surface d’attaque et à limiter l’impact des campagnes de COLDRIVER.

Conclusion - La Nécessité d’une Vigilance Continue

L’évolution rapide des menaces COLDRIVER, de LOSTKEYS à NOROBOT et MAYBEROBOT, illustre la constante adaptation des groupes de menaces étatiques aux défenses de la sécurité. Cette agilité opérationnelle représente un défi majeur pour les professionnels de la sécurité, qui doivent eux aussi évoluer pour maintenir une posture de défense efficace.

Dans le contexte actuel des cybermenaces persistantes avancées (APT), une approche proactive de la sécurité est essentielle. Les organisations doivent investir dans la chasse aux menaces, l’analyse comportementale et la veille sur les nouvelles tactiques déployées par des groupes comme COLDRIVER. En adoptant une stratégie de défense multicouche et en maintenant une vigilance constante, les organisations peuvent mieux se protéger contre les menaces sophistiquées provenant d’acteurs étatiques.

COLDRIVER continue de perfectionner ses outils et techniques, démontrant que la cybersécurité est un champ de bataille dynamique qui nécessite une adaptation continue. Seule une approche proactive et bien informée peut permettre aux organisations de rester en tête de ces menaces émergentes et de protéger leurs actifs les plus précieux contre les cyberattaques sophistiquées.