Google a révélé de nouvelles cybermenaces développées par le groupe de hackers russes COLDRIVER, marquant une évolution majeure dans leurs techniques d’attaque. Trois nouvelles familles de malwares russes – NOROBOT, YESROBOT et MAYBEROBOT – ont été identifiées, confirmant une intensification des opérations de cette entité liée à un État. Ces révélations intéressent directement les passionnés en cybersécurité, les experts en analyse de menaces, ainsi que toute entreprise cherchant à se protéger contre les cyberattaques russes ciblées.
Une montée en puissance sophistiquée : trois nouvelles familles de malwares détectées
Une réponse rapide à la divulgation de LOSTKEYS
Depuis la publication du malware LOSTKEYS en mai 2025, le groupe COLDRIVER a réagi dans les cinq jours avec le développement accéléré de trois nouvelles implantations : NOROBOT, YESROBOT et MAYBEROBOT. Selon le Google Threat Intelligence Group (GTIG), cette dynamique trahit une montée en puissance du rythme de leurs opérations. Malgré cela, aucun nouveau cas connu d’infection par LOSTKEYS n’a été observé depuis.
Une nouvelle chaîne d’infection sophistiquée
La chaîne d’infection commence par un leurre HTML nommé COLDCOPY, conçu comme un faux CAPTCHA dans le style ClickFix pour inciter les victimes à exécuter une commande PowerShell via la boîte de dialogue Exécuter de Windows. Ce leurre délivre une DLL qui contient NOROBOT, lancé via rundll32.exe pour installer une charge utile de seconde phase.
Description des nouveaux malwares : fonctionnalités et comportements
YESROBOT : une porte dérobée discrète mais limitée
Initialement, la charge utile secondaire était un backdoor développé en Python baptisé YESROBOT. Ce malware utilise le protocole HTTPS pour communiquer avec un serveur C2 intégrant une adresse codée en dur. Ses capacités restent limitées : téléchargement et exécution de fichiers, ainsi que récupération de documents ciblés. Seules deux infections par YESROBOT ont été relevées sur une courte période de deux semaines fin mai 2025.
MAYBEROBOT : plus furtif et modulaire
Après YESROBOT, les attaquants ont introduit une variante plus moderne : MAYBEROBOT. Ce malware fonctionne avec PowerShell et peut non seulement exécuter des scripts à distance, mais aussi utiliser cmd.exe pour lancer des commandes ou récupérer d’autres charges utiles via une URL. Plus souple et moins bruyant que YESROBOT, il a probablement été choisi pour remplacer celui-ci après l’échec de sa discrétion en raison du téléchargement visible de Python 3.8 sur la machine infectée.
Le rôle avancé de NOROBOT dans les infections ciblées
Des cibles hautement prioritaires
Les recherches de Google indiquent que NOROBOT, tout comme MAYBEROBOT, est utilisé exclusivement sur des cibles sensibles – probablement déjà compromises via du phishing – afin de renforcer l’exfiltration d’informations. Ce caractère ciblé reflète l’évolution du mode opératoire de COLDRIVER, qui visait auparavant principalement le vol d’identifiants auprès de personnalités, d’ONG et de conseillers politiques.
Une évolution continue pour échapper à la détection
D’après l’analyste Wesley Shields, les premières versions de NOROBOT étaient volontairement simples, augmentant les chances d’infection réussie. Puis, au fur et à mesure, les attaquants ont réintroduit de la complexité – par exemple via une gestion plus avancée des clés de chiffrement – pour tromper les mécanismes de détection de logiciels malveillants.
Des implications judiciaires aux Pays-Bas
En parallèle de ces découvertes, les autorités néerlandaises ont arrêté trois adolescents impliqués dans des actes de cyberespionnage. L’un d’eux est soupçonné d’avoir collaboré avec un groupe affilié au gouvernement russe. Il aurait fourni des instructions à ses complices pour cartographier les réseaux Wi-Fi de La Haye sur plusieurs sessions, suggérant l’implication directe d’un État étranger dans ces activités illégales.
Apprendre les techniques de hacking : comprendre pour mieux se défendre
Pour les professionnels cherchant à renforcer leurs compétences et anticiper les évolutions des menaces, explorer le fonctionnement de ces outils malveillants est essentiel. Le livre pour hacker proposé par CyberCare est une excellente ressource. Axé sur l’apprentissage des fondements du hacking éthique, ce livre pour apprendre à hacker permet de mieux comprendre les bases techniques nécessaires à la détection et la simulation d’attaques sophistiquées comme celles menées par COLDRIVER.
Face à l’accélération des menaces liées à l’ingénierie sociale et aux logiciels malveillants de nouvelle génération, notre service de cybersécurité chez CyberCare vous accompagne dans le renforcement de votre sécurité informatique, avec des solutions sur mesure adaptées aux menaces actuelles.
