Un nuevo malware llamado LOSTKEYS, capaz de robar archivos y datos del sistema, ha sido identificado por el Grupo de Inteligencia de Amenazas de Google (GTIG) como parte de una serie de ciberataques atribuidos a COLDRIVER, un actor de amenazas vinculado al gobierno ruso.
El malware, observado en ataques durante enero, marzo y abril de 2025, marca un nuevo paso en la evolución de las capacidades de COLDRIVER.
Anteriormente conocido principalmente por el phishing de credenciales dirigido a diplomáticos occidentales, ONG y personal de inteligencia, el grupo ahora está implementando herramientas de malware más avanzadas para comprometer directamente los dispositivos de las víctimas.
“Este es otro ejemplo que demuestra que el robo de credenciales es un área de riesgo constante, ya que incluso las contraseñas más seguras pueden ser capturadas por este tipo de ataque de malware”, afirmó Darren Siegel, ingeniero jefe de ventas de Outpost24.
“Si bien el resultado ideal sería prevenir este tipo de ataques desde el principio, esto subraya la necesidad de que las organizaciones implementen un monitoreo continuo de las credenciales comprometidas”.
LOSTKEYS se propaga mediante un complejo proceso de infección de tres etapas. Comienza con un CAPTCHA falso en un sitio web engañoso que engaña a los usuarios para que peguen y ejecuten un script de PowerShell.
Continúa con una segunda etapa, diseñada para evadir las máquinas virtuales mediante la comprobación del hash MD5 de la resolución de pantalla. La tercera etapa descarga y decodifica la carga útil final mediante un cifrado de sustitución de dos claves y un decodificador de Visual Basic Script.
El análisis de GTIG muestra que cada cadena de infección está personalizada con identificadores únicos y claves de cifrado, lo que indica un enfoque a medida para cada objetivo.
Además del robo de credenciales, se cree que la implementación de malware como LOSTKEYS solo ocurre en escenarios de alto riesgo.
Los investigadores también descubrieron versiones anteriores de LOSTKEYS, que datan de diciembre de 2023.
Estas muestras se hacían pasar por archivos relacionados con el software Maltego y utilizaban un método de infección diferente. GTIG no ha confirmado si estas muestras también fueron implementadas por COLDRIVER.
El grupo ha añadido todos los sitios web y archivos maliciosos relacionados con LOSTKEYS a la Navegación Segura y ha emitido alertas directas a los usuarios afectados de Gmail y Workspace.