COLDRIVER

Zscaler ThreatLabz publie une analyse détaillée d’une campagne « ClickFix » attribuée à COLDRIVER ciblant des membres de la société civile russe (dissidents, ONG, défenseurs des droits humains). L’enquête met en lumière deux nouvelles familles de malwares, BAITSWITCH et SIMPLEFIX, et des techniques d’ingénierie sociale avancées. • Chaîne d’attaque: des faux checkboxes Cloudflare Turnstile copient dans le presse‑papiers des commandes malveillantes rundll32.exe, incitant les victimes à les exécuter. La campagne est multi‑étapes et recourt à un filtrage côté serveur pour affiner les cibles et limiter l’exposition. ...

Le Google Threat Intelligence Group (GTIG) a récemment découvert un nouveau malware baptisé LOSTKEYS, attribué au groupe de menaces COLDRIVER, soutenu par le gouvernement russe. Ce malware est capable de voler des fichiers à partir d’une liste prédéfinie d’extensions et de répertoires, tout en envoyant des informations système et des processus en cours aux attaquants. LOSTKEYS a été observé en janvier, mars et avril 2025, marquant une nouvelle évolution dans l’arsenal de COLDRIVER, un groupe principalement connu pour ses attaques de phishing ciblant des personnalités de haut niveau comme les gouvernements de l’OTAN, des ONG, et d’anciens officiers de renseignement et diplomatiques. GTIG suit COLDRIVER depuis plusieurs années, notamment pour leur malware SPICA en 2024. ...