En los últimos años, hemos sido testigos de la creciente sofisticación de los grupos dedicados al cibercrimen, muchos de ellos con supuestos vínculos estatales que persiguen objetivos políticos, económicos y estratégicos. Uno de estos actores es COLDRIVER, un grupo vinculado a Rusia que ha sido objeto de advertencias recientes por parte de Google Threat Intelligence debido a su uso de un nuevo malware denominado LOSTKEYS, orientado a atacar a objetivos en Occidente mediante tácticas avanzadas de infiltración y robo de información. La aparición de LOSTKEYS representa un importante paso en la evolución de COLDRIVER, que hasta ahora se había centrado primordialmente en técnicas de phishing basadas en la suplantación de credenciales, pero que ahora ha adoptado un método más directo y peligroso para conseguir sus fines. Según el informe publicado por Google el 7 de mayo de 2025, LOSTKEYS es un malware desarrollado especialmente para la exfiltración de documentos y otros datos sensibles almacenados en equipos de sus víctimas. Este software malicioso tiene la capacidad de acceder a extensiones de archivo y directorios específicos, extrayendo archivos que pueden contener información estratégica, desde documentos confidenciales hasta registros sensibles de negocios y actividades personales.
Además, LOSTKEYS no solo se limita a robar archivos, sino que también puede monitorear y enviar información del sistema infectado, incluyendo información de los procesos en ejecución, lo que le da al grupo COLDRIVER un panorama completo sobre el entorno y las posibles vulnerabilidades del dispositivo comprometido. La cadena de infección que utiliza LOSTKEYS es sumamente elaborada, compuesta por cuatro etapas principales. Primero, el atacante crea un sitio web falso que presenta un CAPTCHA fraudulento para atraer a la víctima. Este tipo de engaño busca involucrar al usuario y obtener su interacción, descontando cualquier sospecha de actividad maliciosa a simple verificación de seguridad legítima. En la segunda fase, el sitio descarga un script de PowerShell que se copia automáticamente al portapapeles del dispositivo infectado, que luego es ejecutado por el usuario en su máquina sin conocimiento pleno de la amenaza que representa.
Este mecanismo aprovecha técnicas de evasión para evitar ser detectado por el software de seguridad instalado en el sistema. Una vez el script comienza a operar, se procede a un proceso de evaluación y evasión del dispositivo, destinado a identificar si el entorno es adecuado para desplegar la carga maliciosa sin exponer la operación. Posteriormente, se recupera el payload final, que es la parte activa del malware LOSTKEYS que realizará el robo de datos y la comunicación con el servidor de mando y control. Este servidor, identificado con el IP 165.227.
148.68, es la base desde donde se controlan las operaciones del malware, incluyendo la recepción de datos extraídos y el envío de nuevas órdenes o actualizaciones. Los objetivos de COLDRIVER, según revelaciones de Google, son individuos y entidades de alto perfil en Occidente, particularmente diplomáticos, periodistas y otros actores que manejan información crítica o sensible. Esta selección no es fortuita: estas figuras tienen acceso a datos que pueden implicar ventajas tácticas en la geopolítica, negocios o seguridad nacional. COLDRIVER, al evolucionar de simples ataques de phishing con robo de credenciales, hacia ataques con malware avanzado, demuestra una intención manifiesta de escalar el nivel de daño que busca causar.
El contexto global en materia de ciberseguridad en 2025 también es significativo. Según diferentes reportes, incluido uno de la firma Hacken, los ataques relacionados con criptomonedas han alcanzado niveles sin precedentes, con pérdidas que superan los 2 mil millones de dólares en el primer trimestre del año solamente. Esto indica que la tendencia de los ciberataques va en aumento, impulsada por fallos operativos, controles de acceso deficientes y la creciente efectividad de técnicas de ingeniería social. Grupos como COLDRIVER y Lazarus Group están entre los principales actores que aprovechan estas vulnerabilidades. La activación de LOSTKEYS representa también un cambio en la metodología de COLDRIVER, que anteriormente utilizaba malware como Spica para descargar y ejecutar comandos arbitrarios en los dispositivos afectados.
La transición a LOSTKEYS apunta a lograr un impacto más directo y centrado en la extracción de documentos y control remoto, adaptándose a las defensas implementadas por las víctimas y los avances en los sistemas de protección. Google, como parte de las acciones defensivas, ha incluido las páginas web utilizadas para distribuir LOSTKEYS en sus herramientas de navegación segura, alertando a los usuarios y bloqueando automáticamente el acceso a estos sitios. También continúa realizando vigilancia activa para detectar patrones similares y amenazas relacionadas con COLDRIVER, tratando de minimizar el impacto y la capacidad del grupo para seguir expandiendo su alcance. Más allá de las acciones de Google, la situación pone en la mesa la importancia crucial de fortalecer las medidas de seguridad en organizaciones de alto valor, tanto gubernamentales como privadas. La educación en ciberseguridad, la implementación de autenticaciones multifactor, el monitoreo constante de actividades sospechosas y la actualización continua de software y sistemas de detección de amenazas, resultan indispensables para contrarrestar amenazas tan sofisticadas como LOSTKEYS.
Este caso también es un claro ejemplo de la intersección entre geopolítica y ciberseguridad. Grupos respaldados por estados-nación utilizan herramientas avanzadas para influir, ejercer presión o simplemente robar información sensible que pueda ser utilizada con fines estratégicos. La defensa frente a estas amenazas requiere no solo tecnología avanzada, sino también colaboración internacional, políticas robustas y preparación constante para adaptarse rápidamente a nuevas formas de ataque. En conclusión, el descubrimiento y análisis del malware LOSTKEYS utilizado por COLDRIVER es un recordatorio contundente de que las ciberamenazas siguen evolucionando y representando riesgos cada vez más graves para objetivos occidentales de alto perfil. La sofisticación del método de infección y la capacidad del malware para extraer datos críticos requieren respuestas coordinadas y actualizadas en materia de ciberseguridad para proteger la información sensible y evitar consecuencias mayores.
Organizaciones y usuarios deben mantener una postura activa y vigilante para mantener la integridad de sus sistemas y salvaguardar la información que manejan en un entorno digital cada vez más hostil.
