はじめに:COLDRIVERの新たな脅威
長年、NGO、政策顧問、反体制派などの高位の標的を狙ってきたロシアの国家支援ハッカー集団COLDRIVERが、新たなマルウェアキャンペーンを展開しています。2025年5月にその存在が公にされた「LOSTKEYS」マルウェアの詳細が明らかになった後、COLDRIVER(UNC4057、Star Blizzard、Callistoとしても追跡)は、この侵害されたマルウェアから迅速に移行しました。
GTIGの研究者によると、LOSTKEYSの公開以降、そのインスタンスは一切観測されておらず、これはグループの驚異的な適応能力を示しています。この情報公開からわずか5日以内に、COLDRIVERは新たなマルウェアファミリーを実用化し、前例のない速さで戦術とツールを転換させました。
LOSTKEYSからNOROBOTへの移行
COLDRIVERはLOSTKEYSを放棄した後、相互接続されたマルウェアファミリーを特徴とする多様なツールセットの展開を開始しました。これらのツールはすでに数回の開発イテレーションを経ており、グループが標的環境へのアクセスを維持し、防御策を回避することにどれほど注力しているかを浮き彫りにしています。
この再構築された兵器庫の中心にあるのが、悪意のあるDLLである「NOROBOT」です。これは、ユーザーの操作を誘うための更新された「ClickFix」ルアー(CAPTCHAチャレンジを装う)を通じて配信され、ハードコードされたコマンド&コントロール(C2)サーバーから追加の悪意のあるステージを取得するように設計されています。
感染経路とNOROBOTの役割
新たな攻撃チェーンは、標的が偽のCAPTCHAページとやり取りすることから始まります。このページは、「iamnotarobot.dll」と偽装されたDLLの実行を促します。このDLL、NOROBOT(Zscalerによって「BAITSWITCH」とも呼ばれる)は、継続的に開発されており、2025年5月から9月にかけて観測されたサンプルは、感染率を最大化するための展開の簡素化と、分析を妨害するために暗号鍵を複数のコンポーネントに分割するなどの複雑化との間のせめぎ合いを示しています。
進化するバックドア:YESROBOTからMAYBEROBOTへ
NOROBOTの初期バージョンは、検出リスクを高めるPythonのフルインストールを必要とする、扱いにくいPythonバックドア「YESROBOT」の展開につながっていました。GTIGは、COLDRIVERがYESROBOTを、Pythonを必要とせず、より多機能なコマンドプロトコルを誇る、より機敏なPowerShellベースのバックドア「MAYBEROBOT」(またはSIMPLEFIX)に置き換えるまで、その使用は短期間であったことを観測しています。
COLDRIVERの迅速な開発と適応戦略
COLDRIVERの開発ペースは加速しています。NOROBOTの各バリアントには、インフラのローテーション、ファイル名とエクスポート関数の変更、感染チェーンのステップの追加または削除など、微妙な変更が含まれています。これらの調整は、検出を回避し、インシデント対応を複雑にする両方の目的を果たしています。
最終的なバックドアであるMAYBEROBOTは安定しており、COLDRIVERがそのステルス性と柔軟性のバランスに満足していることを示唆しています。これは、彼らの主な焦点が感染チェーン自体の強化に移り、テイクダウンや分析に対する回復力を高めていることを意味します。
フィッシングからマルウェアへ:標的と防御策
歴史的に、COLDRIVERはフィッシング攻撃を好んでいました。マルウェア展開を強化する理由はいまだ不明ですが、研究者たちは、このアプローチが特に価値の高い標的に対して、初期のアカウント侵害後にデバイスレベルの情報を得るために予約されている可能性があると推測しています。
防御策も同様に進化しています。Googleの対応の一環として、悪意のあるインフラとサンプルはSafe Browsingに追加され、リスクのあるGmailおよびWorkspaceユーザーには脅威通知が送信されています。セキュリティ専門家は、共有された侵害指標(IOC)とYARAルールを確認し、脅威インテリジェンスフィードを通じて新たなCOLDRIVERキャンペーンに関する最新情報を入手することが推奨されます。COLDRIVERの戦術が進化し続ける中、防御側も同様に適応し、従来のルアーと、ロシアの国家スパイ活動に使用されるますます洗練されたマルウェアチェーンの両方に対して警戒を怠らない必要があります。