Nova campanha do malware COLDRIVER se une a BO Team e Bearlyfy em ataques cibernéticos focados na Rússia

O grupo de ameaça persistente avançada (APT) russo conhecido como COLDRIVER foi atribuído a uma nova rodada de ataques estilo ClickFix que entregam duas novas famílias de malware "leves" chamadas BAITSWITCH e SIMPLEFIX.

A campanha de múltiplos estágios foi detectada pela Zscaler ThreatLabz em setembro de 2025. O BAITSWITCH funciona como um downloader que instala o SIMPLEFIX, um backdoor em PowerShell.

O COLDRIVER, também rastreado como Callisto e Star Blizzard, é um grupo ligado à Rússia que atua desde 2019, visando ONGs, defensores de direitos humanos e think tanks em regiões ocidentais.

Técnica ClickFix

Os ataques usam táticas ClickFix, enganando usuários para executarem uma DLL maliciosa através do diálogo Executar do Windows, disfarçada como verificação CAPTCHA. O malware coleta informações do sistema, estabelece persistência e se comunica com servidores de comando e controle.

Outros grupos atacando a Rússia

Paralelamente, o grupo BO Team foi observado em campanhas de phishing contra empresas russas usando arquivos RAR protegidos por senha para distribuir versões atualizadas dos malwares BrockenDoor e ZeronetKit.

Além disso, um novo grupo chamado Bearlyfy emergiu usando ransomwares como LockBit 3.0 e Babuk contra alvos russos. O grupo, ativo desde janeiro de 2025, já teria vitimado pelo menos 30 empresas, com resgates variando de alguns milhares a €80.000.

A análise das ferramentas do Bearlyfy revelou sobreposições de infraestrutura com o grupo PhantomCore, possivelmente pró-Ucrânia, mas acredita-se que sejam entidades autônomas com diferentes modelos de operação.