كشفت مجموعة استخبارات التهديدات في جوجل (GTIG) عن ثلاث عائلات برمجية جديدة نسبت إلى خلية القراصنة المرتبطة بروسيا والمعروفة باسم COLDRIVER، بعد موجة تطوير سريعة لاحظت منذ مايو 2025. الأسماء الرمزية للعائلات هي NOROBOT وYESROBOT وMAYBEROBOT، وهي تظهر كجزء من سلسلة إصابة مترابطة طوّرها الفاعلون رداً على نشر برمجية LOSTKEYS السابقة قبل أسابيع.
تطور الأدوات والتكتيك
تفيد التحليلات أن COLDRIVER سرّعت وتيرة أعمالها العملياتية بعد نشر LOSTKEYS، إذ لم تُرصد حالات LOSTKEYS بعد الإفصاح عنها، بينما برزت عائلات الـ”ROBOT” الجديدة كبدائل وأدوات امتداد. NOROBOT يعمل كمرحلة تسليم أولية (DLL يُسقَط عبر حيلة ClickFix تسمى COLDCOPY) ويُنفَّذ عبر rundll32.exe ليتلوه تنزيل وتشغيل حمولات لاحقة. الإصدارات المبكرة وزّعت باك دور بلغة بايثون أُطلق عليه YESROBOT قبل الانتقال إلى زرعٍ أطول مدى وقابلية تمديد باسم MAYBEROBOT.
قدرات العائلات البرمجية وسلسلة الإصابة
-
YESROBOT: باك دور مقتصد وظيفياً يستخدم HTTPS لجلب الأوامر من خادم تحكم ثابت، ويدعم تنزيل وتشغيل ملفات واسترجاع مستندات؛ لوحظ فقط مثيلان له خلال فترة قصيرة أواخر مايو.
-
MAYBEROBOT: أكثر مرونة وقابلية للتمديد، يتيح تنزيل وتشغيل حمولات من عناوين URL محددة، تنفيذ أوامر عبر cmd.exe، وتشغيل شفرات PowerShell — ما يجعله أداة مناسبة للاهداف الأعلى قيمة.
-
NOROBOT: يمثل نقطة الانطلاق في سلسلة الإصابة؛ تميزت إصداراته الأولى بأنها “صاخبة” أحياناً (تنزيل تثبيت Python 3.8 كامل على المضيف)، ما دفع المهاجمين لاحقاً إلى تبسيط السلسلة ثم إعادة تعقيدها لتقليل فرص الكشف، بما في ذلك تفكيك مفاتيح التشفير لإرباك أنظمة التحليل.
أساليب الاستدراج والانتشار (TTPs)
أعاد الفاعلون استخدام طرق تشبه ClickFix — صفحة HTML خادعة تطلب من الضحية تشغيل أوامر PowerShell عبر مربع تشغيل ويندوز تحت ذريعة التحقق CAPTCHA — كوسيلة لإقناع المستخدمين بتشغيل شفرات مُدمّرة. كما أن NOROBOT وMAYBEROBOT يُستخدمان غالبًا ضد أهداف مُسبق اختراقها أو مُستهدفة بعناية، وتركّز الهجمات على أفراد رفيعي المستوى في المنظمات غير الحكومية والمستشارين السياسيين والمعارضين، في حين أن نمط التطوير السريع يبيّن رغبة المشغّلين في الحفاظ على زخم الهجوم والتخفّي أمام أنظمة الدفاع.
تبعات التحقيقات والوقائع القانونية
جاء نشر هذه النتائج بالتزامن مع إعلان المدعي العام الهولندي عن اشتباه ثلاثة شباب (17 عاماً) بتقديم خدمات إلى حكومة أجنبية، ووجود تواصل بين أحدهم ومجموعة قراصنة مرتبطة بالحكومة الروسية، حيث جرى توقيف اثنين منهم في 22 سبتمبر 2025 وثالث وُضع تحت الإقامة الجبرية لارتباطه بدور محدود. هذه الحادثة تُبرز سوقًا نشطة لتجنيد وسطاء محليين يُستخدمون للوصول المادي والبيانات الجغرافية التي قد تُستغل لاحقًا في عمليات التجسس السيبراني.
