Kelompok peretas yang didukung negara Rusia, Star Blizzard (alias ColdRiver, UNC4057, atau Callisto), kembali beraksi dengan varian malware baru bernama NOROBOT, YESROBOT, dan MAYBEROBOT. Ketiga malware ini digunakan dalam rantai serangan canggih yang dimulai dari ClickFix, teknik rekayasa sosial yang memanfaatkan halaman CAPTCHA palsu “I am not a robot” untuk mengelabui korban agar mengeksekusi malware.
🤖 Dari LostKeys ke Robot Malware
Sebelumnya, kelompok ini menggunakan malware LostKeys untuk memata-matai pemerintah Barat, jurnalis, lembaga riset, dan NGO. Namun, hanya lima hari setelah analisis publik diterbitkan oleh Google Threat Intelligence Group (GTIG) pada Mei 2025, mereka langsung meninggalkan LostKeys dan beralih ke malware baru — NOROBOT, YESROBOT, dan MAYBEROBOT — dengan struktur yang lebih kompleks dan dinamis.
🎭 Serangan ClickFix: “Verifikasi” yang Justru Menjalankan Malware
Serangan ClickFix dimulai dari halaman CAPTCHA palsu. Saat korban mencoba “membuktikan” bahwa mereka bukan robot, halaman tersebut menjalankan perintah rundll32 yang meluncurkan malware NOROBOT.
- NOROBOT: Awalnya muncul sebagai file DLL berbahaya, memperoleh persistence melalui registry dan scheduled tasks.
- Malware ini mengunduh instalasi Python 3.8 lengkap untuk menyiapkan backdoor baru — YESROBOT, yang berbasis Python.
- Namun karena instalasi Python dianggap terlalu mencolok, kelompok ini menggantinya dengan backdoor MAYBEROBOT, berbasis PowerShell.
🧠 Evolusi: Dari Kompleks ke Sederhana, Lalu ke Kompleks Lagi
Menurut laporan GTIG, antara Juni hingga September, NOROBOT terus dikembangkan menjadi lebih efisien dan sulit dideteksi.
Versi terbaru MAYBEROBOT mendukung tiga perintah utama:
- Mengunduh dan mengeksekusi payload dari URL tertentu.
- Menjalankan perintah Command Prompt.
- Menjalankan skrip PowerShell arbitrary.
Setelah dijalankan, hasil perintah dikirim kembali ke server Command-and-Control (C2) melalui jalur komunikasi terenkripsi, memberi umpan balik kepada operator mengenai keberhasilan operasi.
Para peneliti juga menemukan bahwa versi terbaru malware ini memecah kunci kriptografi ke beberapa komponen, sehingga payload akhir hanya bisa didekripsi jika semua bagian tersedia — strategi yang dirancang untuk menyulitkan analisis forensik dan deteksi keamanan.
🕵️♂️ Operasi Siber yang Terus Berkembang
Serangan ColdRiver dengan NOROBOT dan MAYBEROBOT telah diamati sejak Juni hingga September 2025 dan dikaitkan dengan Dinas Intelijen Rusia (FSB).
Meskipun sudah berulang kali terkena sanksi, pemutusan infrastruktur, dan ekspos publik, kelompok ini tetap aktif dan terus berevolusi.
Menurut analis GTIG, pergeseran dari phishing ke serangan berbasis CAPTCHA kemungkinan bertujuan untuk menyerang kembali target lama yang sebelumnya sudah berhasil dikompromi, agar bisa mengambil data tambahan langsung dari perangkat korban.
🛡️ Tindakan Pencegahan
Google telah menerbitkan daftar indikator kompromi (IoC) dan aturan YARA untuk membantu tim keamanan mendeteksi aktivitas terkait malware Robot.
Pengguna dan organisasi disarankan untuk:
- Tidak mengeksekusi file dari halaman verifikasi CAPTCHA yang mencurigakan.
- Memeriksa sumber tautan sebelum melakukan “verifikasi identitas”.
- Memperbarui sistem deteksi keamanan dan endpoint protection secara berkala.
Sumber: Google Threat Intelligence Group (GTIG), Zscaler