COLDRIVER : Le Groupe de Menaces Russes Déploie un Nouveau Malware Après l'Exposition de LOSTKEYS

Lysandre Beauchêne

COLDRIVER : Le Groupe de Menaces Russes Déploie un Nouveau Malware Après l’Exposition de LOSTKEYS

Dans le paysage en constante évolution des menaces cyber, les groupes d’acteurs étatiques continuent de démontrer une capacité d’adaptation remarquable. Suite à la divulgation publique de leur malware LOSTKEYS en mai 2025, le groupe de menaces soutenu par l’État russe connu sous le nom de COLDRIVER, également suivi sous des aliases tels que UNC4057, Star Blizzard et Callisto, a rapidement évolué ses opérations cyber. Selon les recherches du Google Threat Intelligence Group (GTIG), ce groupe a abandonné LOSTKEYS seulement cinq jours après son exposition et a commencé à déployer de nouvelles familles de malwares qui démontrent une escalade significative en termes de vitesse de développement et d’agressivité opérationnelle.

COLDRIVER, un groupe de menaces persistant ciblant des personnalités haut placées associées à des ONG, des think tanks politiques et des dissidents politiques, a montré une adaptabilité et une persévérance face à un examen accru. Le GTIG signale que les dernières initiatives du groupe impliquent une chaîne de familles de malwares apparentées, livrés via un mécanisme imitant une invite CAPTCHA, une évolution de leurs leurres précédents COLDCOPY. Cette adaptation rapide souligne la nécessité pour les professionnels de la cybersécurité de rester vigilants et de comprendre les évolutions tactiques de ces acteurs sophistiqués.

Qui est COLDRIVER ?

COLDRIVER est identifié comme un groupe de menaces sophistiqué attribué aux services de renseignement russes, opérant depuis plusieurs années avec un niveau de sophistication technique impressionnant. Ce groupe se distingue par sa capacité à maintenir des opérations persistantes contre des cibles de haut niveau, allant des diplomates et des responsables gouvernementaux aux journalistes et aux chercheurs. Selon des analyses menées par plusieurs centres de cybersécurité, COLDRIVER a été actif au moins depuis 2020, avec une augmentation notable de leurs activités depuis 2023.

Le groupe utilise plusieurs alias dans le milieu de la cybersécurité, ce qui complique le suivi de leurs activités :

  • UNC4057 : Utilisé par Microsoft pour désigner ce groupe
  • Star Blizzard : Nom attribué par Proofpoint
  • Callisto : Désignation utilisée par d’autres chercheurs
  • COLDCOPY : Nom lié à leurs campagnes d’hameçonnage
  • COLDRIVER : Nom basé sur leurs tactiques de livraison

Cette multiplicité de noms reflète la complexité du suivi des menaces étatiques, qui changent fréquemment leur nom pour éviter la détection et l’analyse. En France, où la cybersécurité est une priorité nationale, comprendre ces groupes est essentiel pour protéger les infrastructures critiques et les personnalités visibles.

Ciblage et Objectifs

COLDRIVER se concentre spécifiquement sur des cibles géopolitiquement sensibles, avec un accent particulier sur :

  • Les organisations non gouvernementales (ONG) travaillant sur des questions démocratiques et les droits humains
  • Les think tanks politiques influençant les politiques publiques
  • Les journalistes et chercheurs couvrant des sujets sensibles
  • Les diplomates et personnel des ambassades
  • Les universitaires spécialisés en relations internationales

Ce ciblage stratégique suggère des objectifs de renseignement politique et d’influence, alignés avec les intérêts géopolitiques de la Russie. En France, plusieurs organisations ont été identifiées comme des cibles potentielles, notamment des instituts de recherche politiques et des ONG actives dans l’espace post-soviétique.

L’évolution des tactiques de LOSTKEYS à NOROBOT

Après la divulgation de leur malware LOSTKEYS en mai 2025, COLDRIVER a démontré une réactivité inquiétante, abandonnant rapidement cette solution pour développer une nouvelle génération d’outils malveillants. Cette transition a été accomplie en seulement cinq jours, une vitesse remarquable qui témoigne d’une capacité de développement opérationnelle impressionnante.

La première génération de malware post-exposition incluait YESROBOT, une porte dérobée minimaliste basée sur Python, rapidement remplacée par MAYBEROBOT, une solution plus sophistiquée basée sur PowerShell. Cette évolution marque une tendance significative vers des outils plus évolutifs et moins détectables, reflétant une compréhension approfondie des environnements de sécurité modernes.

Le GTIG a observé que ces changements ne sont pas seulement des réponses improvisées, mais font partie d’une stratégie d’ingénierie inverse continue. En analysant les défenses mises en place après l’exposition de LOSTKEYS, COLDRIVER a adapté ses tactiques pour contourner les nouvelles barrières de détection tout en maintenant des fonctionnalités d’invasion persistantes.

Méthodes de Livraison Évolutive

COLDRIVER a développé une chaîne de livraison de malwares sophistiquée qui utilise plusieurs techniques pour contourner les défenses :

  1. Leurre ClickFix : Une technique qui imite une invite CAPTCHA, demandant aux utilisateurs de vérifier qu’ils ne sont pas des robots. Cette méthode exploite la familiarité des utilisateurs avec les vérifications CAPTCHA pour réduire la méfiance.

  2. Fichiers DLL malveillants : Une fois l’utilisateur trompé, un fichier DLL malveillant est exécuté via rundll32, initiant la chaîne d’infection.

  3. Communication avec des serveurs de commandement et de contrôle (C2) : Le malware établit une connexion avec des serveurs C2 prédéfinis pour récupérer les étapes suivantes du malware.

  4. Chiffrement et obfuscation : Les communications et les payloads sont régulièrement chiffrés et obfusqués pour éviter la détection par les solutions de sécurité traditionnelles.

Ces méthodes de livraison représentent une évolution significative par rapport aux techniques plus simples utilisées par les groupes de menaces moins sophistiqués, démontrant l’investissement continu de COLDRIVER dans des techniques d’ingénierie sociale et d’invasion techniques avancées.

NOROBOT et la chaîne d’infection

L’élément central de la campagne de COLDRIVER est NOROBOT, un fichier DLL malveillant distribué initialement via un leurre appelé “ClickFix”. Cette technique imite un défi CAPTCHA, incitant les utilisateurs à vérifier qu’ils ne sont pas des robots, d’où le nom du malware. Une fois l’utilisateur exécute le fichier via rundll32, NOROBOT initie une séquence qui se connecte à un serveur de commandement et de contrôle (C2) codé en dur pour récupérer l’étape suivante du malware.

Le GTIG note que NOROBOT a subi des mises à jour continues entre mai et septembre 2025. Les versions initiales étaient récupérées et installées dans un environnement complet Python 3.8, qui était ensuite utilisé pour exécuter une porte dérobée baptisée YESROBOT. Cette méthode laissait des traces évidentes, telles que l’installation de Python, qui pouvaient déclencher des alertes. Par conséquent, COLDRIVER a remplacé YESROBOT par une porte dérobée plus rationalisée et furtive basée sur PowerShell : MAYBEROBOT.

Techniques d’obfuscation avancées

Les versions initiales de NOROBOT reposaient sur l’obfuscation cryptographique, divisant les clés AES entre divers composants. Par exemple, une partie de la clé était stockée dans le Registre Windows, tandis que le reste était intégré dans des scripts Python téléchargés comme libsystemhealthcheck.py. Ces fichiers, hébergés sur des domaines tels que inspectguarantee[.]org, étaient essentiels pour déchiffrer et activer la porte dérobée finale.

Cette technique de division des clés représente une approche ingénieuse pour contourner les solutions de sécurité qui cherchent des signatures uniques. En dispersant les éléments critiques, COLDRIVER rend la détection et l’analyse beaucoup plus complexes pour les équipes de sécurité.

Infrastructure dynamique

COLDRIVER utilise une infrastructure dynamique qui change fréquemment pour éviter la détection et le blocage. Leurs serveurs C2 sont hébergés sur des domaines nouvellement enregistrés et changent régulièrement. Cette approche, combinée à l’utilisation de services cloud légitimes pour héberger des éléments malveillants, crée un environnement défensif complexe pour les équipes de sécurité qui tentent de suivre et de bloquer leurs activités.

Dans le contexte français, où l’ANSSI (Agence nationale de la sécurité des systèmes d’information) surveille de près les menaces émergentes, cette infrastructure évolutive représente un défi constant. Les organisations françaises doivent adopter des approches de défense dynamiques qui peuvent s’adapter rapidement aux changements tactiques des groupes de menaces étatiques.

YESROBOT : Une porte dérobée éphémère

YESROBOT, une porte dérobée minimaliste basée sur Python, n’a été observée que deux fois sur une fenêtre de deux semaines à la fin mai 2025. Les commandes étaient chiffrées avec AES et émises via HTTPS, avec des identifiants système inclus dans la chaîne User-Agent. Cependant, ses limitations, telles que la nécessité d’un interpréteur Python complet et l’absence d’extensibilité, ont conduit COLDRIVER à l’abandonner rapidement.

Le GTIG croit que YESROBOT a servi de solution transitoire, déployée à la hâte après l’exposition de LOSTKEYS. L’effort pour maintenir la continuité opérationnelle suggère que COLDRIVER était sous pression pour rétablir des points d’appui sur les systèmes précédemment compromis. Cette transition rapide illustre la capacité du groupe à pivoter rapidement lorsque leurs tactiques sont compromises.

Limitations techniques

YESROBOT présentait plusieurs limitations techniques qui ont conduit à son rejet rapide par COLDRIVER :

  1. Dépendance à Python : L’installation complète de Python 3.8 laissait des traces évidentes sur les systèmes compromis.
  2. Manque d’extensibilité : L’architecture limitée ne permettait pas facilement l’ajout de nouvelles fonctionnalités.
  3. Détection facile : Les communications et le comportement étaient facilement identifiables par les solutions de sécurité modernes.
  4. Performance limitée : L’exécution dans un environnement Python complet ralentissait l’opération et augmentait le risque de détection.

Ces limitations ont motivé le développement de MAYBEROBOT, une solution plus adaptée aux exigences opérationnelles de COLDRIVER dans un environnement de cybersécurité renforcé. La capacité du groupe à reconnaître rapidement les faiblesses de leurs propres outils et à les remplacer par des solutions plus efficaces témoigne de leur sophistication technique.

MAYBEROBOT : Le nouveau standard de COLDRIVER

Début juin 2025, le GTIG a identifié une version simplifiée de NOROBOT qui contournait complètement le besoin de Python. Cette nouvelle variante récupérait une seule commande PowerShell, établissait une persistance via un script de connexion et livrait un script fortement obfusqué connu sous le nom de MAYBEROBOT (également appelé SIMPLEFIX par Zscaler).

MAYBEROBOT prend en charge trois fonctions principales qui le rendent particulièrement adaptable aux besoins opérationnels de COLDRIVER :

  1. Télécharger et exécuter du code depuis une URL spécifiée
  2. Exécuter des commandes en utilisant cmd.exe
  3. Exécuter des blocs PowerShell pour des opérations plus complexes

Cette architecture modulaire permet à COLDRIVER d’adapter facilement le malware à différentes situations opérationnelles, ajoutant ou modifiant des fonctionnalités selon les besoins spécifiques de chaque campagne. La communication avec le serveur C2 utilise un protocole personnalisé, envoyant des accusés de réception et des sorties de commande à des chemins prédéfinis, ce qui rend la détection plus difficile pour les solutions de sécurité traditionnelles.

Avantages par rapport à YESROBOT

Bien que minimal dans ses fonctionnalités intégrées, l’architecture de MAYBEROBOT est plus adaptable et furtive que celle de YESROBOT. Le GTIG évalue que cette évolution marque un changement délibéré de COLDRIVER vers un ensemble d’outils plus flexible qui évite la détection en sautant l’installation de Python et en minimisant le comportement suspect.

Les avantages clés de MAYBEROBOT incluent :

  • Furtivité accrue : L’utilisation de PowerShell, un outil légitime intégré à Windows, rend le malware moins suspect
  • Pas de dépendance externe : Élimine le besoin d’installer des logiciels tiers détectables
  • Architecture modulaire : Permet des mises à jour et des modifications dynamiques sans nécessiter de nouvelles distributions
  • Évasion des défenses : Conçu spécifiquement pour contourner les solutions de sécurité basées sur le comportement

Ces caractéristiques font de MAYBEROBOT un outil particulièrement efficace pour les opérations de longue durée nécessitant un maintien persistant sur les systèmes compromis sans déclencher d’alertes. Dans le contexte français, où les organisations sont de plus en plus conscientes des menaces persistantes, cette approche furtive représente un défi significatif pour les équipes de sécurité.

Adaptation continue du malware de COLDRIVER

De juin à septembre 2025, le GTIG a observé COLDRIVER affiner continuellement NOROBOT et ses chaînes de livraison associées. Ces changements incluent :

  1. Rotation des noms de fichiers et de l’infrastructure : Pour éviter la détection par les solutions basées sur des signatures
  2. Modification des noms d’export DLL et des chemins : Pour contourner les analyses statiques
  3. Ajustement de la complexité : Pour équilibrer la furtivité et le contrôle opérationnel

De manière intéressante, bien que NOROBOT ait vu plusieurs itérations, MAYBEROBOT est resté largement inchangé, suggérant que le groupe est confiant dans ses capacités actuelles. Cette stabilité relative dans un malware clé indique une phase de maturation où le groupe concentre ses efforts sur l’optimisation plutôt que sur de nouvelles expérimentations.

Tendances d’évolution tactique

L’évolution continue des tactiques de COLDRIVER révèle plusieurs tendances importantes dans le paysage des menaces étatiques :

  • Ingénierie sociale avancée : Leurs leurres deviennent de plus en plus sophistiqués, exploitant des tendances actuelles et des comportements humains
  • Développement de code léger : Migration vers des outils plus petits et plus efficaces qui minimisent l’empreinte numérique
  • Utilisation d’outils légitimes : Intégration croissante d’outils système légitimes pour dissimuler les activités malveillantes
  • Protocoles de communication personnalisés : Développement de protocoles de communication uniques pour éviter la détection par les solutions de sécurité standard

Ces tendences reflètent une adaptation stratégique aux défenses de sécurité modernes, démontrant que les groupes de menaces étatiques continuent d’évoluer pour maintenir leur capacité d’opération dans un environnement cyber de plus en plus défensif.

Implications pour la cybersécurité française et européenne

L’évolution rapide des tactiques de COLDRIVER représente un défi significatif pour la cybersécurité en France et en Europe. Leur ciblage d’organisations politiques et de think tanks s’aligne avec des campagnes d’influence plus larges visant à façonner l’opinion publique et les politiques gouvernementales. En France, où les institutions démocratiques sont une cible privilégiée de diverses campagnes d’influence étrangère, la détection et la contre-mesure de ces menaces sont cruciales.

L’ANSSI, en tant qu’autorité nationale de cybersécurité, a identifié COLDRIVER comme l’une des menaces persistantes les plus actives contre les intérêts français. Les organisations françaises, en particulier celles travaillant sur des questions géopolitiques sensibles, doivent adopter des approches de défense en couches qui combinent la détection technique avec la sensibilisation humaine.

Recommandations de défense

Face à la sophistication croissante des tactiques de COLDRIVER, les organisations françaises doivent considérer les défenses suivantes :

  1. Formation et sensibilisation : Éduquer les employés sur les techniques d’ingénierie sociale avancée, en particulier les leurres CAPTCHA personnalisés
  2. Détection comportementale : Mettre en œuvre des solutions qui analysent le comportement plutôt que les signatures
  3. Segmentation réseau : Isoler les segments réseau contenant des données sensibles pour limiter la propagation
  4. Gestion des points d’entrée : Mettre en œuvre des contrôles stricts sur les points d’entrée potentiels, y compris les e-mails et les téléchargements
  5. Surveillance continue : Maintenir une surveillance proactive des réseaux pour détecter les activités anormales

Collaborations internationales

La nature transnationale des menaces comme COLDRIVER nécessite des collaborations internationales efficaces. La France participe à plusieurs initiatives de partage d’informations sur les menaces, y compris le réseau European Union Agency for Cybersecurity (ENISA) et les alliances comme le Five Eyes. Ces collaborations permettent un partage rapide d’informations sur les tactiques, les techniques et les procédures (TTP) utilisées par les groupes de menaces étatiques.

En 2025, l’ANSSI a renforcé ses mécanismes de partage d’informations avec les partenaires internationaux, reconnaissant que les menaces évoluent trop rapidement pour être traitées efficacement de manière isolée. Cette approche collaborative est essentielle pour contrer les groupes de menaces sophistiqués comme COLDRIVER, qui exploitent les frontières nationales pour échapper à la détection et au suivi.

Conclusion

L’évolution rapide des tactiques de COLDRIVER, passant de LOSTKEYS à NOROBOT et MAYBEROBOT en seulement quelques mois, démontre une capacité d’adaptation inquiétante de la part de ce groupe de menaces étatiques russes. Leur capacité à pivoter rapidement lorsque leurs tactiques sont exposées, combinée à leur développement continu d’outils plus sophistiqués et plus furtifs, représente un défi significatif pour les défenseurs de la cybersécurité en France et en Europe.

L’utilisation de techniques d’ingénierie sociale avancées comme le leurre ClickFix, combinée à des outils malveillants évolutifs comme MAYBEROBOT, crée un environnement défensif complexe qui nécessite une approche multi-couche de détection et de réponse. Les organisations françaises, en particulier celles travaillant sur des questions géopolitiques sensibles, doivent renforcer leurs défenses pour faire face à ces menaces persistantes et sophistiquées.

Alors que nous avançons en 2025, il est impératif que les professionnels de la cybersécurité restent vigilants face à l’évolution continue des tactiques de COLDRIVER et d’autres groupes de menaces étatiques. La collaboration internationale, la formation continue et l’adoption de technologies de détection avancées seront essentielles pour contrer ces menaces et protéger les intérêts français et européens dans un paysage cyber de plus en plus complexe.