Google revela três novas famílias de malware

A Google Threat Intelligence Group (GTIG) divulgou recentemente uma descoberta alarmante: três novas famílias de malware ligadas ao grupo russo COLDRIVER (também conhecido pelas siglas UNC4057, Star Blizzard e Callisto). Segundo a análise, essas cepas começaram a ser usadas poucos dias após a exposição pública de uma antiga ferramenta da mesma ameaça, chamada LOSTKEYS.

De acordo com o blog oficial da Google, essa rápida “reformulação” da linha de ataque indica não apenas a resiliência operacional do COLDRIVER, mas um aumento substancial do ritmo de desenvolvimento (“operations tempo”) de suas campanhas.

Contextualizando o COLDRIVER: quem são e por que isso importa

O COLDRIVER é um grupo patrocinado por Estado russo e tem histórico de campanhas de phishing direcionado que visam indivíduos influentes, como membros de organizações não-governamentais, conselheiros de políticas, oficiais militares e diplomáticos. Em relatório anterior, a Google já havia identificado o uso de sua ferramenta LOSTKEYS, responsável por exfiltrar arquivos sensíveis e informações de sistema.

Agora, entretanto, a GTIG observa que o COLDRIVER mudou sua estratégia: em vez de apenas phishing, ele agora usa malware altamente sofisticado, aproveitando uma nova cadeia de entrega, com múltiplas famílias inter-relacionadas.

As três novas famílias de malware

No centro da descoberta da Google estão três novas famílias que foram desenvolvidas e implantadas rapidamente:

NOROBOT – Um componente principal da nova cadeia de ataque. A Google observou que ele é entregue por meio de um lure (isca) chamado “ClickFix”, que simula um CAPTCHA personalizado. Ao invés de usar PowerShell como no LOSTKEYS, o novo processo executa uma DLL maliciosa via rundll32, o que mostra uma mudança na técnica de execução.
YESROBOT e MAYBEROBOT – São variantes que complementam a cadeia de entrega, com diferentes funções e formas de evasão. Elas foram projetadas para operar de forma síncrona, compartilhando infraestrutura de comando e controle e componentes de comunicação criptografada, o que torna mais difícil para defensores dissociar exatamente onde cada variante está atuando.
Arquitetura de execução e comunicação – As novas famílias usam DLLs compactas e leves, evitando chamadas conspícuas. A comunicação com o servidor de controle (C2) é feita de forma segura, utilizando criptografia para proteger os dados exfiltrados. Além disso, todo o ciclo de vida do malware — desde a entrega até a exfiltração — demonstra um refinamento técnico comparado às versões anteriores.

Implicações para cibersegurança

A revelação da GTIG levanta várias preocupações estratégicas para organizações, governos e profissionais de segurança:

Aumento de sofisticação: A capacidade do COLDRIVER de alterar rapidamente sua “ferramentaria” (toolset) sugere um alto nível de maturidade e investimento em desenvolvimento. Isso dificulta a detecção por defensores que dependem apenas de assinaturas estáticas.
Persistência e resiliência: A rápida substituição do LOSTKEYS por novas famílias de malware indica que o COLDRIVER possui planejamento de longo prazo, com múltiplos vetores de ataque já preparados para uso imediato.
Espionagem estratégica: O perfil de atuação do COLDRIVER — voltado para espionagem e coleta de inteligência de alto valor — sugere que os alvos dessas novas campanhas podem incluir entidades governamentais, organizações de políticas públicas e atores estratégicos.
Dificuldades de atribuição e mitigação: Com novas variantes e infraestrutura evoluída, as equipes de defesa precisam adaptar suas estratégias de detecção. Isso inclui a criação de novos indicadores de compromisso (IoCs), análises comportamentais e huntings proativos.

Recomendações para defesa

Para mitigar o risco dessas novas cepas de malware, analistas de cibersegurança podem adotar as seguintes medidas:

Monitoramento de TTPs (Táticas, Técnicas e Procedimentos): Implementar huntings com foco nas novas cadeias de execução identificadas pela Google, como DLLs invocadas por rundll32 após supostas interações de CAPTCHA.
Defesa em profundidade: Utilizar múltiplas camadas de segurança, incluindo proteção de endpoint, firewall, análise de tráfego, e soluções de EDR/XDR para detectar comportamento anômalo.
Segmentação de rede: Isolar sistemas críticos, especialmente aqueles que podem receber a carga inicial do malware, e restringir privilégios para execução de código dinâmico.
Inteligência de ameaças ativa: Assinar feeds de ameaças que incluam IoCs relacionados ao COLDRIVER e suas novas famílias, e colaborar com comunidades de threat intelligence para acompanhar a evolução dessas cepas.
Resposta a incidentes e resiliência: Preparar playbooks de resposta para casos em que a execução de DLLs maliciosas seja detectada, garantindo isolamento rápido, coleta de evidências e contenção.

Conclusão

A identificação de três novas famílias de malware ligadas ao COLDRIVER representa um momento crítico no panorama da ciberespionagem patrocinada por Estado. A rápida adaptação e evolução técnica desse grupo mostram que ele está longe de ser “queimado” ou contido — pelo contrário, está se renovando com vigor. Para profissionais de segurança, isso reforça a necessidade de uma postura proativa e adaptativa: não basta reagir às ameaças conhecidas, é preciso antecipar novos vetores, descobrir novos malwares e manter a vigilância constante sobre atores estratégicos. A guerra cibernética patrocinada por nações continua se tornando mais complexa, e nossa defesa precisa evoluir na mesma cadência.

Referências bibliográficas

Google Threat Intelligence Group. To Be (A Robot) or Not to Be: New Malware Attributed to Russia State-Sponsored COLDRIVER. Google Cloud Blog, 2025. Disponível em: https://cloud.google.com/blog/topics/threat-intelligence/new-malware-russia-coldriver Google Cloud

Lakshmanan, Ravie. “Google Identifies Three New Russian Malware Families Created by COLDRIVER Hackers.” The Hacker News, 2025. Disponível em: https://thehackernews.com/2025/10/google-identifies-three-new-russian.html