Malware SIMPLEFIX
Il gruppo russo di minacce persistenti avanzate (APT) COLDRIVER è stato collegato a una nuova ondata di attacchi in stile ClickFix, che ha introdotto due famiglie di malware leggeri: BAITSWITCH e SIMPLEFIX. I ricercatori di sicurezza hanno identificato questa campagna multifase nel settembre 2025. BAITSWITCH agisce come un downloader che alla fine distribuisce SIMPLEFIX, una backdoor basata su PowerShell.
COLDRIVER, noto anche con alias come Callisto, Star Blizzard e UNC4057, è attivo dal 2019 e prende di mira un ampio spettro di organizzazioni. Le prime campagne si basavano sullo spear-phishing per reindirizzare le vittime a pagine di raccolta di credenziali. Nel tempo, il gruppo ha sviluppato strumenti personalizzati come SPICA e LOSTKEYS, evidenziando la sua crescente sofisticatezza tecnica.
Sommario
ClickFix: un vettore di attacco persistente e comprovato
Questo gruppo APT ha già utilizzato in passato le tattiche ClickFix, documentate per la prima volta nel maggio 2025. In queste campagne, siti web falsi offrivano prompt CAPTCHA fraudolenti, inducendo le vittime a eseguire comandi PowerShell che fornivano lo script Visual Basic LOSTKEYS.
Sebbene ClickFix non sia né una novità né un'applicazione particolarmente avanzata, il suo utilizzo ripetuto ne dimostra l'efficacia come vettore di infezione. Gli attacchi più recenti mantengono la stessa metodologia generale: le vittime vengono indotte con l'inganno a eseguire una DLL dannosa tramite la finestra di dialogo Esegui di Windows, apparentemente per completare un controllo CAPTCHA.
Anatomia della catena di attacco
L'attacco procede come segue:
La DLL BAITSWITCH viene eseguita e si connette a un dominio controllato dall'aggressore (captchanom.top) per recuperare la backdoor SIMPLEFIX. Viene visualizzato un documento esca ospitato su Google Drive per distrarre la vittima.
Vengono inviate diverse richieste HTTP allo stesso server per trasmettere informazioni di sistema, ricevere comandi per la persistenza, archiviare payload crittografati nel Registro di sistema di Windows, scaricare uno stager di PowerShell e cancellare la cronologia recente della finestra di dialogo Esegui per coprire le tracce.
Lo stager di PowerShell scarica SIMPLEFIX da southprovesolutions.com. SIMPLEFIX stabilisce una connessione con un server di comando e controllo (C2), consentendo l'esecuzione di script, comandi e file binari di PowerShell remoti.
Uno script di PowerShell eseguito tramite SIMPLEFIX prende di mira un set predefinito di directory e tipi di file per l'esfiltrazione, rispecchiando le sovrapposizioni con le precedenti campagne LOSTKEYS.
Profilo del target e focus strategico
Le attività di COLDRIVER si concentrano principalmente sugli attori della società civile, tra cui:
- Membri di ONG e think tank nelle regioni occidentali
- difensori dei diritti umani
- Individui esiliati o residenti in Russia
L'attuale campagna è strettamente in linea con questa vittimologia consolidata, rafforzando l'interesse costante del gruppo nei confronti della società civile russa e delle reti correlate.
