Убедительная подделка, незаметный запуск и кража файлов — всё это про LOSTKEYS от COLDRIVER
За фасадом стандартной процедуры скрывается тщательно выверенный план.
Хакерская группа COLDRIVER, известная под псевдонимами Callisto, Star Blizzard и UNC4057, вышла за пределы привычной фишинговой активности и начала применять вредоносное ПО собственной разработки. Новый вирус под названием LOSTKEYS впервые был зафиксирован в начале 2025 года и стал вторым известным образцом их кастомного инструментария после SPICA.
LOSTKEYS применяется в узконаправленных шпионских операциях. Среди целей — советники западных правительств и военных структур, аналитики из исследовательских центров, журналисты и неправительственные организации. Вирус распространяется через социальную инженерию, при которой пользователям предлагается пройти фиктивную CAPTCHA-проверку на поддельном сайте, замаскированную под интерфейс Cloudflare.
На самом деле пользователь получает в буфер обмена PowerShell-команду, которую затем просят вставить в диалоговое окно «Выполнить» в Windows. Эта команда загружает промежуточный скрипт с удалённого сервера и запускает его, предварительно проверяя, не работает ли система внутри виртуальной машины. Такая проверка снижает вероятность обнаружения вредоносного ПО в средах анализа.
Следующий этап включает загрузку третьего компонента — закодированного PowerShell-скрипта, который в расшифрованном виде устанавливает LOSTKEYS. Программа собирает данные о системе, списке процессов и извлекает файлы определённых расширений из заранее заданных директорий. Используемые ключи шифрования и идентификаторы индивидуальны для каждой атаки, что усложняет массовую атрибуцию и отслеживание.
Также были обнаружены образцы, маскирующиеся под исполняемые файлы платформы Maltego, популярной среди специалистов по OSINT-расследованиям. Эти экземпляры датируются декабрём 2023 года, однако пока неясно, связаны ли они с деятельностью COLDRIVER или представляют собой отдельную кампанию с повторным использованием LOSTKEYS.
Таким образом, речь идёт не просто о краже учётных данных, а о полноценной шпионской операции с использованием многоступенчатого вредоносного инструмента. Группа продолжает развивать тактики и отходить от стандартных фишинговых сценариев, переходя к целевому заражению систем через продуманные механизмы доставки и сокрытия.