Le groupe russe de menaces persistantes avancées (APT) connu sous le nom de COLDRIVER a été attribué à une nouvelle série d’attaques de type ClickFix conçues pour diffuser deux nouvelles familles de logiciels malveillants « légers » appelées BAITSWITCH et SIMPLEFIX.

Zscaler ThreatLabz, qui a détecté la nouvelle campagne ClickFix en plusieurs étapes plus tôt ce mois-ci, a décrit BAITSWITCH comme un téléchargeur qui abandonne finalement SIMPLEFIX, une porte dérobée PowerShell.

COLDRIVER , également suivi sous les noms de Callisto, Star Blizzard et UNC4057, est le surnom attribué à un acteur de menace lié à la Russie qui est connu pour cibler un large éventail de secteurs depuis 2019. Alors que les premières vagues de campagne ont été observées à l’aide d’appâts de spear-phishing pour diriger les cibles vers des pages de collecte d’informations d’identification, le groupe a étoffé son arsenal avec des outils personnalisés comme SPICA et LOSTKEYS , ce qui souligne sa sophistication technique.

L’utilisation des tactiques ClickFix par l’adversaire a déjà été documentée par le Google Threat Intelligence Group (GTIG) en mai 2025, en utilisant de faux sites diffusant de fausses invites de vérification CAPTCHA pour inciter la victime à exécuter une commande PowerShell conçue pour fournir le script Visual Basic LOSTKEYS.

« L’utilisation continue de ClickFix suggère qu’il s’agit d’un vecteur d’infection efficace, même s’il n’est ni nouveau ni techniquement avancé », ont déclaré les chercheurs en sécurité de Zscaler, Sudeep Singh et Yin Hong Chang, dans un rapport publié cette semaine.

La dernière chaîne d’attaque suit le même mode opératoire : elle incite les utilisateurs peu méfiants à exécuter une DLL malveillante dans la boîte de dialogue Exécuter de Windows, sous prétexte de compléter un CAPTCHA. La DLL, BAITSWITCH, accède à un domaine contrôlé par l’attaquant (« captchanom[.]top ») pour récupérer la porte dérobée SIMPLEFIX, tandis qu’un faux document hébergé sur Google Drive est présenté aux victimes.

Il effectue également plusieurs requêtes HTTP vers le même serveur pour envoyer des informations système, recevoir des commandes pour établir la persistance, stocker des charges utiles chiffrées dans le registre Windows, télécharger un stager PowerShell, effacer la commande la plus récente exécutée dans la boîte de dialogue Exécuter, effaçant ainsi efficacement les traces de l’attaque ClickFix qui a déclenché l’infection.

Le stager PowerShell téléchargé contacte ensuite un serveur externe (« southprovesolutions[.]com ») pour télécharger SIMPLEFIX, qui, à son tour, établit une communication avec un serveur de commande et de contrôle (C2) pour exécuter des scripts, des commandes et des binaires PowerShell hébergés sur des URL distantes.

L’un des scripts PowerShell exécutés via SIMPLEFIX exfiltre des informations sur une liste codée en dur de types de fichiers présents dans une liste préconfigurée de répertoires. La liste des répertoires et des extensions de fichiers analysés chevauche celle de LOSTKEYS.

« Le groupe COLDRIVER APT est connu pour cibler les membres d’ONG, les défenseurs des droits humains, les groupes de réflexion des régions occidentales, ainsi que les personnes exilées de Russie et résidant en Russie », a déclaré Zscaler. « L’objectif de cette campagne correspond étroitement à leur victimologie, qui cible les membres de la société civile liés à la Russie. »

BO Team et Bearlyfy ciblent la Russie#

Cette évolution survient alors que Kaspersky a déclaré avoir observé une nouvelle campagne de phishing ciblant les entreprises russes début septembre, menée par le groupe BO Team (alias Black Owl, Hoody Hyena et Lifting Zmiy) utilisant des archives RAR protégées par mot de passe pour fournir une nouvelle version de BrockenDoor réécrite en C# et une version mise à jour de ZeronetKit.

ZeronetKit, une porte dérobée Golang, est dotée de fonctionnalités permettant l’accès à distance aux hôtes compromis, le téléchargement de fichiers, l’exécution de commandes via cmd.exe et la création d’un tunnel TCP/IPv4. Certaines versions plus récentes prennent également en charge le téléchargement et l’exécution de shellcode, ainsi que la mise à jour de l’intervalle de communication avec le C2 et la modification de la liste des serveurs C2.

« ZeronetKit est incapable de persister de manière indépendante sur un système infecté, donc les attaquants utilisent BrockenDoor pour copier la porte dérobée téléchargée au démarrage », a déclaré le fournisseur russe de cybersécurité .

Cela fait également suite à l’émergence d’un nouveau groupe appelé Bearlyfy, qui a utilisé des rançongiciels comme LockBit 3.0 et Babuk dans des attaques ciblant la Russie. D’abord contre des petites entreprises pour des rançons modestes, puis s’est étendu à des entreprises plus importantes du pays à partir d’avril 2025, selon F6. En août 2025, le groupe aurait fait au moins 30 victimes.

Lors d’un incident visant une société de conseil, les acteurs malveillants ont été observés en train d’utiliser une version vulnérable de Bitrix pour un accès initial, puis d’exploiter la faille Zerologon pour élever les privilèges. Dans un autre cas observé en juillet, l’accès initial aurait été facilité par une société partenaire anonyme.

« Lors de la dernière attaque enregistrée, les attaquants ont exigé 80 000 € en cryptomonnaie, tandis que lors de la première attaque, la rançon s’élevait à plusieurs milliers de dollars », ont déclaré les chercheurs de F6 . « En raison du montant relativement faible des rançons, en moyenne, une victime sur cinq achète des décrypteurs aux attaquants. »

Bearlyfy est considéré comme actif depuis janvier 2025, une analyse plus approfondie de ses outils révélant des chevauchements d’infrastructure avec un groupe de menace probablement pro-ukrainien appelé PhantomCore , qui a pour habitude de cibler des entreprises russes et biélorusses depuis 2022. Malgré ces similitudes, Bearlyfy est considéré comme une entité autonome.

« PhantomCore met en œuvre des attaques complexes en plusieurs étapes, typiques des campagnes APT », a déclaré l’entreprise. « Bearlyfy, quant à lui, utilise un modèle différent : des attaques avec une préparation minimale et une focalisation ciblée sur un effet immédiat. L’accès initial s’obtient en exploitant des services externes et des applications vulnérables. La panoplie principale vise le chiffrement, la destruction ou la modification des données. »