«Русские хакеры» из Star Blizzard внедряют вредоносное ПО в капчи «Я не робот»
Изображение: recraft
Хакерская группа Star Blizzard, также известная под названиями ColdRiver, UNC4057 и Callisto, активизировала операции с использованием новых семейств вредоносного ПО, которые распространяются через сложные цепочки социальной инженерии. По данным аналитиков Google Threat Intelligence Group (GTIG), в последние месяцы группа перешла к использованию вредоносных компонентов под названиями NOROBOT, MAYBEROBOT и YESROBOT. Один из сценариев атак — внедрение вредоносного кода в фальшивые формы CAPTCHA с надписью «Я не робот».
Специалисты GTIG отмечают, что Star Blizzard отказалась от использования ранее задействованного инструмента LostKeys всего через несколько дней после его публичного анализа.
Эта программа использовалась в шпионских кампаниях против представителей западных правительств, журналистов, исследовательских центров и неправительственных организаций. LostKeys обеспечивала скрытую кражу информации, работая с заранее заданными каталогами и расширениями.
Почти сразу после того, как эксперты опубликовали технический разбор LostKeys, злоумышленники переключились на новое вредоносное ПО. Первым стал NOROBOT — DLL-библиотека, распространяемая через поддельные капчи.
В этой схеме пользователю предлагается пройти обычную проверку «Я не робот», но вместо этого запускается вредоносный код через стандартный системный процесс rundll32. Такой приём позволяет обмануть жертву и заставить её самостоятельно инициировать заражение.
Компания Zscaler, специализирующаяся на облачной защите, назвала этот компонент BAITSWITCH, а его полезную нагрузку — бэкдор под названием SIMPLEFIX. По данным Google, разработка NOROBOT велась активно с мая по сентябрь 2025 года. Для обеспечения устойчивости вредонос внедряет себя в систему через изменения в реестре и расписание задач, а также подготавливает установку Python 3.8 для запуска следующего этапа — бэкдора YESROBOT, написанного на Python.
Однако использование YESROBOT оказалось непродолжительным. Как считают аналитики GTIG, полная установка интерпретатора Python оказалась слишком заметной для защитных систем и аудиторов безопасности. В результате Star Blizzard сменила тактику и начала использовать более скрытый вариант — PowerShell-скрипт MAYBEROBOT, также известный под внутренним названием SIMPLEFIX. Этот компонент продолжает общую линию атак, но делает акцент на минимальном следе и простоте доставки.
По мнению исследователей, происходящее указывает на адаптивность группы и её быструю реакцию на изменения в информационном пространстве. После каждого раскрытия и анализа используемого инструментария Star Blizzard оперативно отказывается от прежних решений, создавая новые, менее заметные и более устойчивые к анализу.
Особую обеспокоенность вызывает использование капч как канала доставки вредоносного ПО. Формы с проверкой «Я не робот» воспринимаются пользователями как стандартный элемент безопасности, что создаёт ложное чувство доверия. Подмена этой проверки на скрипт, запускающий вредоносную DLL, делает атаку особенно опасной и эффективной.
