Malware SIMPLEFIX
El grupo ruso de amenazas persistentes avanzadas (APT) COLDRIVER ha sido vinculado a una nueva ola de ataques tipo ClickFix, que introduce dos familias de malware ligero: BAITSWITCH y SIMPLEFIX. Investigadores de seguridad identificaron esta campaña multietapa en septiembre de 2025. BAITSWITCH actúa como un descargador que finalmente distribuye SIMPLEFIX, una puerta trasera basada en PowerShell.
COLDRIVER, también conocido por alias como Callisto, Star Blizzard y UNC4057, lleva activo desde 2019, atacando a una amplia gama de organizaciones. Sus primeras campañas se basaban en el phishing selectivo para redirigir a las víctimas a páginas de recolección de credenciales. Con el tiempo, el grupo ha desarrollado herramientas personalizadas como SPICA y LOSTKEYS, lo que demuestra su creciente sofisticación técnica.
Tabla de contenido
ClickFix: un vector de ataque persistente y probado
Este grupo APT ya había implementado tácticas ClickFix, documentadas por primera vez en mayo de 2025. En esas campañas, sitios web falsos ofrecían solicitudes CAPTCHA fraudulentas, engañando a las víctimas para que ejecutaran comandos de PowerShell que entregaban el script de Visual Basic LOSTKEYS.
Si bien ClickFix no es novedoso ni muy avanzado, su uso repetido demuestra su eficacia como vector de infección. Los ataques más recientes mantienen la misma metodología general: se engaña a las víctimas para que ejecuten una DLL maliciosa a través del cuadro de diálogo Ejecutar de Windows, aparentemente para completar una verificación CAPTCHA.
Anatomía de la cadena de ataque
El ataque se desarrolla de la siguiente manera:
Se ejecuta la DLL BAITSWITCH y se conecta a un dominio controlado por el atacante (captchanom.top) para obtener la puerta trasera SIMPLEFIX. Se muestra un documento señuelo alojado en Google Drive para distraer a la víctima.
Se envían varias solicitudes HTTP al mismo servidor para transmitir información del sistema, recibir comandos para persistencia, almacenar cargas útiles cifradas en el Registro de Windows, descargar un stager de PowerShell y borrar el historial del cuadro de diálogo de ejecución reciente para cubrir los rastros.
El stager de PowerShell descarga SIMPLEFIX desde southprovesolutions.com. SIMPLEFIX establece una conexión con un servidor de Comando y Control (C2), lo que permite la ejecución remota de scripts, comandos y binarios de PowerShell.
Un script de PowerShell ejecutado a través de SIMPLEFIX apunta a un conjunto predefinido de directorios y tipos de archivos para la exfiltración, reflejando superposiciones con campañas LOSTKEYS anteriores.
Perfil objetivo y enfoque estratégico
Las operaciones de COLDRIVER se centran principalmente en los actores de la sociedad civil, incluidos:
- Miembros de ONG y grupos de expertos en regiones occidentales
- defensores de los derechos humanos
- Personas exiliadas o residentes en Rusia
La campaña actual se alinea estrechamente con esta victimología establecida, reforzando el interés permanente del grupo en la sociedad civil rusa y sus redes relacionadas.
