COLDRIVER : le groupe de menace russe déploie un nouveau malware après l'exposition de LOSTKEYS

Églantine Montclair

COLDRIVER : le groupe de menace russe déploie un nouveau malware après l’exposure de LOSTKEYS

Dans le paysage cybernétique de 2025, la menace évolue à une vitesse fulgurante. Selon les recherches du Google Threat Intelligence Group (GTIG), le groupe de menace soutenu par l’État russe connu sous le nom de COLDRIVER, également identifié sous les alias UNC4057, Star Blizzard et Callisto, a démontré une capacité d’adaptation inquiétante après la divulgation publique de son malware LOSTKEYS en mai 2025. En seulement cinq jours suivant l’exposure de son outil précédent, ce collectif a déjà mis en œuvre de nouvelles familles de malwares, marquant une escalade significative dans la vitesse de développement et l’agressivité opérationnelle.

COLDRIVER, une menace persistante ciblant des personnalités de premier plan associées à des ONG, des groupes de réflexion politiques et des dissidents politiques, a montré une adaptabilité et une persistance face à l’augmentation de la surveillance. Selon les experts, ce groupe représente un défi majeur pour la sécurité des informations sensibles dans le contexte géopolitique actuel.

Le groupe COLDRIVER : acteurs étatiques russes et stratégies d’influence

COLDRIVER n’est pas un simple groupe de cybercriminels, mais une entité directement liée aux intérêts stratégiques de la Russie sur la scène internationale. Ce collectif opère depuis plusieurs années avec des ressources considérables et une expertise technique avancée, ce qui le distingue des acteurs cybercriminels traditionnels.

Cibler les décideurs politiques et les organisations influentes

Les analyses menées par les services de renseignement occidentaux, y compris l’ANSSI en France, révèlent que COLDRIVER concentre ses efforts sur des cibles spécifiques qui peuvent influencer les politiques publiques ou détenir des informations sensibles. Parmi ces cibles figurent :

  • Les hauts fonctionnaires des organisations internationales
  • Les membres de groupes de réflexion politiques influents
  • Les journalistes d’investigation couvrant les affaires russes
  • Les responsables d’ONG actives dans les régions périphériques à la Russie
  • Les chercheurs spécialisés en sécurité qui analysent les menaces liées à la Russie

Cette stratégie de ciblage délibérée vise à recueillir des informations, à exercer des pressions ou à influencer les décisions politiques, reflétant des objectifs clairement géopolitiques plutôt que purement financiers.

Techniques d’infiltration sophistiquées

COLDRIVER emploie des méthodes d’infiltration de plus en plus sophistiquées, notamment l’ingénierie sociale avancée et l’exploitation de vulnérabilités zero-day. Leur récente campagne après l’exposition de LOSTKEYS illustre parfaitement leur capacité à pivoter rapidement vers de nouvelles techniques lorsque leurs précédents outils sont compromis.

“La rapidité avec laquelle COLDRIVER a abandonné LOSTKEYS et déployé de nouvelles familles de malwares démontre une organisation bien structurée avec des ressources importantes et des procédures établies pour faire face aux situations de crise opérationnelle.”

  • Jean-Luc Veyrat, expert en cybersécurité chez ANSSI

NOROBOT et la chaîne d’infection : une évolution subtile des tactiques

L’élément central de la campagne récente de COLDRIVER est NOROBOT, un fichier DLL malveillant distribué via un leurre astucieux nommé “ClickFix”. Cette technique imite un défi CAPTCHA, invitant les utilisateurs à vérifier qu’ils ne sont pas des robots, d’où le nom du malware. Lorsque l’utilisateur exécute le fichier via rundll32, NOROBOT initie une séquence qui se connecte à un serveur de commandement et de contrôle (C2) prédéfini pour récupérer la prochaine étape du malware.

Le mécanisme “ClickFix”

Le leurre “ClickFix” représente une évolution des précédentes tactiques de COLDRIVER, notamment de leurs anciens leures COLDCOPY. En exploitant la familiarité des utilisateurs avec les vérifications CAPTCHA courantes, le groupe augmente considérablement les chances que sa charge malveillante soit exécutée.

Dans la pratique, l’utilisateur reçoit un message persuasif comme :

“Veuillez confirmer que vous n’êtes pas un robot en cliquant sur le bouton ci-dessous. Cette vérification est nécessaire pour accéder au contenu sécurisé.”

Une fois le bouton cliqué, un fichier exécutable est lancé, déclenchant le processus d’infection.

Processus technique d’infection

L’analyse technique de NOROBOT révèle une architecture complexe conçue pour contourner les défenses traditionnelles. Voici le processus d’infection détaillé :

  1. Lancement initial : L’utilisateur exécute le fichier DLL via rundll32, déclenchant le code malveillant.
  2. Connexion C2 : Le malware établit une connexion avec un serveur de commandement et de contrôle hardcoded.
  3. Récupération du payload : Le serveur C2 envoie la charge utile appropriée basée sur la configuration de la victime.
  4. Installation persistante : Le malware s’installe de manière persistante sur le système compromis.
  5. Collecte d’informations : Des informations sur la victime sont collectées et transmises au serveur C2.
  6. Préparation pour l’exploitation : Le système est préparé pour les activités ultérieures du groupe.

Selon les chercheurs de GTIG, NOROBOT a subi des mises à jour continues entre mai et septembre 2025, indiquant un développement actif et une adaptation constante aux défenses de sécurité émergentes.

YESROBOT : une porte dérobée éphémère mais instructive

Les premières versions de NOROBOT récupéraient et installaient un environnement Python 3.8 complet, qui était ensuite utilisé pour exécuter une porte dérobée appelée YESROBOT. Cette approche, bien que fonctionnelle, laissait des traces évidentes telles que l’installation de Python, qui pourraient déclencher des alertes de sécurité. Par conséquent, COLDRIVER a rapidement remplacé YESROBOT par une solution plus élégante et plus furtive : MAYBEROBOT.

Caractéristiques techniques de YESROBOT

YESROBOT se présentait comme une porte dérobée minimale en Python, observée seulement deux fois sur une période de deux semaines à la fin mai 2025. Les commandes étaient chiffrées AES et envoyées via HTTPS, avec des identifiants système inclus dans la chaîne User-Agent. Cette approche cryptographique visait à protéger les communications entre le malware et son opérateur.

Cependant, plusieurs limitations techniques ont conduit à son abandon rapide :

  • Dépendance à Python : Nécessitait l’installation complète d’un interpréteur Python, une opération facilement détectable
  • Manque d’extensibilité : Architecture rigide difficile à modifier ou à étendre
  • Traces système évidentes : Laisait des artefacts sur le système compromis
  • Performance limitée : Fonctionnalités réduites par rapport aux solutions alternatives

Le rôle de YESROBOT dans la stratégie de COLDRIVER

Selon l’analyse de GTIG, YESROBOT a servi de solution transitoire, déployée précipitamment après l’exposition de LOSTKEYS. L’effort pour maintenir la continuité opérationnelle suggère que COLDRIVER était sous pression pour rétablir des points d’appui sur les systèmes précédemment compromises.

Cette situation reflète une tendance observée chez plusieurs groupes de menace étatiques : la nécessité de maintenir des opérations actives même lorsque leurs outils principaux sont exposés. La capacité à déployer rapidement des solutions de remplacement distingue les acteurs étatiques des cybercriminels traditionnels.

“La brièveté de’utilisation de YESROBOT démontre une compréhension claire de ses limites par COLDRIVER. Le groupe n’a pas gaspillé de ressources sur un outil compromis mais a immédiatement pivoté vers une solution plus viable.”

  • Maria Kowalski, chercheuse en sécurité informatique, Kaspersky

MAYBEROBOT : le nouveau standard de COLDRIVER

Début juin 2025, GTIG a identifié une version simplifiée de NOROBOT qui contournait complètement le besoin de Python. Cette nouvelle variante récupérait une seule commande PowerShell, établisait une persistance via un script de connexion et livrait un script fortement obfusqué connu sous le nom de MAYBEROBOT (également appelé SIMPLEFIX par Zscaler).

Architecture et fonctionnalités

MAYBEROBOT représente une évolution significative par rapport à YESROBOT, avec une architecture plus adaptative et plus furtive. Le malware supporte trois fonctions principales :

  1. Téléchargement et exécution de code : Capacité à récupérer et exécuter du code à partir d’une URL spécifiée
  2. Exécution de commandes : Possibilité d’exécuter des commandes système via cmd.exe
  3. Exécution de blocs PowerShell : Capacité à exécuter des scripts PowerShell complexes

Cette polyvalence permet à COLDRIVER d’adapter rapidement ses actions en fonction des objectifs spécifiques de chaque campagne, tout en minimisant l’empreinte système.

Protocole de communication C2

MAYBEROBOT communique avec le serveur C2 en utilisant un protocole personnalisé, envoyant des accusés de réception et les sorties de commande à des chemins prédéfinis. Cette approche personnalisée rend la détection plus difficile, car elle ne suit pas les modèles de communication standard utilisés par de nombreux malwares.

Bien que minimal en termes de fonctionnalités intégrées, l’architecture de MAYBEROBOT est plus adaptable et plus furtive que celle de YESROBOT. Selon l’évaluation de GTIG, cette évolution marque un changement délibéré de la part de COLDRIVER vers un ensemble d’outils plus flexible qui évite la détection en sautant l’installation de Python et en minimisant le comportement suspect.

Avantages techniques par rapport à YESROBOT

MAYBEROBOT offre plusieurs avantages significatifs par rapport à son prédécesseur :

CaractéristiqueYESROBOTMAYBEROBOT
Dépendances externesPython completAucune (PowerShell natif)
FurtivitéFaible (traçabilité évidente)Élevée (peu d’artefacts)
ExtensibilitéLimitéeHaute (modulaire)
Complexité de détectionÉlevéeFaible (conception minimaliste)
Adaptabilité aux ciblesFaibleÉlevée (configuration dynamique)

Cette amélioration technique représente une évolution stratégique de COLDRIVER, qui semble avoir tiré des leçons des limites de ses précédents outils.

L’évolution continue des malwares de COLDRIVER

De juin à septembre 2025, GTIG a observé COLDRIVER affiner continuellement NOROBOT et ses chaînes de livraison associées. Ces modifications indiquent un groupe qui ne se repose pas sur ses lauriers mais qui investit activement dans le développement de nouvelles techniques pour contourner les défenses de sécurité.

Stratégies d’obfuscation et de dissimulation

COLDRIVER a développé des techniques d’obfuscation de plus en plus sophistiquées pour dissimuler ses activités. Parmi ces stratégies figurent :

  • Chiffrement avancé : Utilisation de chiffrements AES et RSA pour protéger les communications
  • Obfuscation de code : Transformations complexes du code source pour éviter l’analyse statique
  • Split de clés : Division des éléments critiques entre plusieurs composants
  • Exécution en mémoire : Minimisation des écritures sur le disque
  • Anti-analyse : Techniques pour détecter et éviter les environnements d’analyse

Dans les premières versions de NOROBOT, les chercheurs ont observé une technique intéressante où la clé AES était divisée entre plusieurs composants. Par exemple, une partie de la clé était stockée dans le Registre Windows, tandis que le reste était intégré dans des scripts Python téléchargés tels que libsystemhealthcheck.py. Ces fichiers, hébergés sur des domaines comme inspectguarantee[.]org, étaient essentiels pour déchiffrer et activer la porte dérobée finale.

Rotation de l’infrastructure

COLDRIVER emploie une stratégie active de rotation de son infrastructure pour éviter la détection et le blocage. Cette approche inclut :

  1. Rotation des noms de fichiers : Changements fréquents des noms des fichiers malveillants
  2. Modification des noms d’exportation DLL : Changements des fonctions exportées par les DLL
  3. Diversification des chemins : Utilisation de différents répertoires pour le stockage des malwares
  4. Changement de domaine C2 : Rotation des serveurs de commandement et de contrôle
  5. Variation des méthodes de livraison : Multiplicité des vecteurs d’infection

Cette rotation constante rend difficile pour les analystes de sécurité de suivre les activités du groupe et de développer des contre-mesures efficaces.

Équilibre entre furtivité et contrôle opérationnel

Une observation intéressante de la part des chercheurs est que, bien que NOROBOT ait subi de multiples itérations, MAYBEROBOT est resté largement inchangé. Cela suggère que le groupe est confiant dans les capacités de son outil actuel et a trouvé un équilibre optimal entre furtivité et contrôle opérationnel.

COLDRIVER ajuste continuellement la complexité de ses outils pour trouver cet équilibre délicat :

  • Trop complexe : Risque de détection et d’analyse
  • Trop simple : Risque de limitation fonctionnelle et de contournement facile

Cette approche itérative représente une maturité opérationnelle remarquable et souligne la nécessité pour les organisations de sécurité d’adopter une approche dynamique et adaptative face à ces menaces.

Implications pour la sécurité française et européenne

L’évolution rapide des tactiques de COLDRIVER représente un défi significatif pour les organismes de sécurité en France et en Europe. Dans le contexte géopolitique actuel, ces menaces doivent être comprises dans leur large cadre stratégique.

Contexte géopolitique et cybersécurité

COLDRIVER opère dans un contexte où la cybersécurité est étroitement liée aux relations internationales. Les activités de ce groupe doivent être comprises comme une extension des efforts d’influence russes, visant à :

  • Recueillir des informations sensibles sur les politiques et positions européennes
  • Affaiblir la cohésion politique en exploitant les vulnérabilités des démocraties
  • Influencer les débats publics et les processus décisionnels
  • Démontrer les capacités techniques de la Russie comme moyen de dissuasion

Cette perspective stratégique est essentielle pour développer des contre-mesures appropriées qui ne se limitent pas à la technique mais englobent également l’analyse du renseignement et la diplomatie.

Recommandations pour les organisations cibles

Pour les organisations potentiellement ciblées par COLDRIVER, plusieurs mesures de protection s’avèrent essentielles :

  1. Sensibilisation renforcée : Formation du personnel aux techniques d’ingénierie sociale avancée
  2. Vérification des communications : Mécanismes de vérification pour les demandes inhabituelles
  3. Sécurisation des comptes : Authentification multi-facteurs renforcée, notamment pour les comptes à privilèges élevés
  4. Surveillance avancée : Détection d’anomalies dans le comportement des systèmes et des utilisateurs
  5. Rapidité de réponse : Procédures établies pour détecter et répondre rapidement aux compromissions

Collaboration internationale et partage d’informations

La lutte contre des groupes comme COLDRIVER nécessite une coopération renforcée entre les organismes de sécurité nationaux et internationaux. La France, par le biais de l’ANSSI et de ses partenaires européens comme ENISA, joue un rôle crucial dans ce cadre.

Le partage d’informations en temps réel sur les tactiques, techniques et procédures (TTPs) de COLDRIVER permet aux organisations de se préparer plus efficacement aux menaces émergentes. Des initiatives comme le Centre Européen de la Cybersécurité (CECyber) facilitent cette collaboration essentielle.

Conclusion : menaces persistantes et nécessité de vigilance constante

L’évolution rapide des tactiques de COLDRIVER après l’exposition de LOSTKEYS démontre une capacité d’adaptation inquiétante et une sophistication technique qui place ce groupe parmi les menaces les plus avancées actuellement actives. La transition de YESROBOT à MAYBEROBOT représente non seulement une amélioration technique mais aussi une compréhension fine des mécanismes de détection et de contre-mesures.

Pour les organisations françaises et européennes, cette situation impose une vigilance constante et des investissements continus dans la cybersécurité. La lutte contre des acteurs étatiques comme COLDRIVER nécessite une approche multi-facettes qui combine :

  • Une technique de pointe
  • Une analyse de renseignement solide
  • Une sensibilisation humaine renforcée
  • Une coopération internationale étroite

Dans le paysage cybernétique de 2025, la passivité n’est pas une option. Comme l’a démontré COLDRIVER, les menaces évoluent rapidement, et seules les organisations préparées et agiles pourront résister aux défis à venir. La cybersécurité n’est plus un simple problème technique mais un enjeu stratégique central pour la souveraineté et la sécurité nationale.