Ruska hakerska skupina poznata pod imenima Coldriver, Star Blizzard, Callisto i UNC4057, koju se smatra povezano s ruskim državnim obavještajnim strukturama i obavještajnom agencijom GRU, ponovno je u fokusu međunarodne kibernetičke zajednice nakon što je kompanija Google otkrila da je ta skupina zamijenila ranije otkriveni zlonamjerni softver novim nizom naprednih alata.

Prema izvješću Google Threat Analysis Group (TAG), Coldriver je nakon otkrića hakerskog alata LostKeys, koji je identificiran u svibnju 2025., u roku od samo mjesec dana razvio i počeo koristiti novu seriju malwarea nazvanu NOROBOT i YESROBOT.

Ta brzina prilagodbe pokazuje iznimnu operativnu agilnost i visok stupanj resursa koji stoje iza ove hakerske kampanje.

Google navodi i da novi alat NOROBOT funkcionira kao početna faza hakerskog napada, najčešće isporučen putem lažne CAPTCHA stranice (za provjeru identiteta korisnika) — metode koju je Coldriver već koristio u ranijim phishing kampanjama, posebno u napadima na korisnike i tvrtke u EU.

Nakon što korisnik klikne na lažni CAPTCHA link, preuzima se malware YESROBOT, koji potom instalira glavnu backdoor (zadnja vrata) komponentu nazvanu MAYBEROBOT.

Ova trostruka struktura malwarea omogućava ruskim hakerima da uspostave stabilan i dugotrajan pristup zaraženim sustavima, istovremeno prikrivajući tragove i otežavajući detekciju od strane sigurnosnih timova.

UDAR U TIŠINI /

Rusi izveli katastrofalan napad: Na meti je bila i vojna baza s nuklearnim oružjem?

Sofisticirana špijunaža

Google je primijetio da Coldriverov malware na ovaj način prelazi iz sfere klasične krađe podataka i korisničkih lozinki u sferu sofisticiranog špijunskog kibernetičkog djelovanja putem prilagođenih malwarea.

To ukazuje na evoluciju ove hakerske skupine od tipičnog phishing aktera prema ozbiljnom obavještajnom instrumentu čiji cilj nije samo prikupljanje podataka, već i dublje infiltriranje u računalnu infrastrukturu ciljnih organizacija.

Mete napada ostaju slične kao i u ranijim analizama — novinari, civilne organizacije, istraživački centri i mediji koji kritiziraju rusku politiku, državne institucije i brojne tvrtke unutar EU — no sada se napadi provode tehnički znatno složenije.

Google je također naveo da je ova hakerska kampanja u mnogome najagresivnija dosad, a posebno zabrinjava činjenica da grupa aktivno eksperimentira s varijantama NOROBOT-a, dok MAYBEROBOT ostaje stabilna platforma za dugoročni pristup kompromitiranim uređajima i mrežama, što ukazuje na strateški razvoj alata namijenjenih raznim vrstama kibernetičkih napada.

POGLEDAJTE VIDEO Hakeri napali Ruđer i traže jamčevinu! Stručnjak: 'Bili su brži'