Kelompok peretas yang berafiliasi dengan Rusia, COLDRIVER, kembali menjadi sorotan setelah Google Threat Intelligence Group (GTIG) mengungkap perkembangan pesat dari lini malware terbaru mereka sejak Mei 2025. Dalam waktu hanya lima hari setelah publikasi malware mereka sebelumnya, LOSTKEYS, grup ini sudah meluncurkan rangkaian malware baru yang menunjukkan peningkatan intensitas operasi dan kecepatan adaptasi luar biasa.

GTIG menjelaskan bahwa malware baru tersebut—bernama NOROBOT, YESROBOT, dan MAYBEROBOT—merupakan kumpulan keluarga malware yang saling terhubung melalui rantai distribusi yang kompleks. Berbeda dari pola lama COLDRIVER yang biasanya menargetkan tokoh LSM, penasihat kebijakan, dan pembangkang politik untuk mencuri kredensial, gelombang serangan terbaru mereka justru menggunakan umpan ClickFix yang menipu pengguna agar menjalankan perintah PowerShell berbahaya melalui jendela Run di Windows, dengan kedok verifikasi CAPTCHA palsu.

Serangan-serangan pada awal 2025 yang sebelumnya menginstal malware pencuri data LOSTKEYS kini berevolusi menjadi keluarga “ROBOT”. Menariknya, firma keamanan Zscaler melacak dua dari varian tersebut dengan nama berbeda: BAITSWITCH untuk NOROBOT dan SIMPLEFIX untuk MAYBEROBOT. Rantai infeksi dimulai dari umpan HTML bernama COLDCOPY yang menurunkan sebuah file DLL (NOROBOT) dan mengeksekusinya lewat rundll32.exe untuk meluncurkan tahap berikutnya. Versi awal serangan ini sempat menyebarkan backdoor Python bernama YESROBOT, sebelum akhirnya digantikan oleh implant PowerShell yang lebih canggih, MAYBEROBOT.

YESROBOT menggunakan koneksi HTTPS untuk berkomunikasi dengan server command-and-control (C2) yang sudah di-hardcode. Meskipun kemampuannya terbatas—hanya mengunduh, mengeksekusi file, dan mencuri dokumen—malware ini sempat digunakan selama dua minggu pada akhir Mei 2025, tak lama setelah pengungkapan publik tentang LOSTKEYS. Sebaliknya, MAYBEROBOT menawarkan fleksibilitas lebih besar: ia bisa mengunduh payload tambahan dari URL tertentu, mengeksekusi perintah lewat cmd.exe, serta menjalankan skrip PowerShell secara langsung.

GTIG menduga YESROBOT hanya berfungsi sebagai solusi darurat—diluncurkan cepat untuk menutupi hilangnya efektivitas LOSTKEYS—sebelum akhirnya ditinggalkan demi MAYBEROBOT yang lebih efisien. Versi awal NOROBOT bahkan sempat mencoba mengunduh instalasi penuh Python 3.8 ke sistem korban, langkah yang dianggap “berisik” dan mudah menimbulkan kecurigaan. Kini, versi terbarunya jauh lebih senyap dan modular, dengan kunci kriptografi yang dipecah untuk menghindari deteksi.

Menurut GTIG, malware NOROBOT dan MAYBEROBOT tampaknya disiapkan untuk target bernilai tinggi yang sebelumnya mungkin sudah disusupi lewat phishing. Tujuannya: mengumpulkan intelijen tambahan dari perangkat korban tanpa terdeteksi. Evolusi berkelanjutan dan penyesuaian cepat terhadap mekanisme pertahanan keamanan menunjukkan tingkat kematangan operasional COLDRIVER yang semakin tinggi.

Sementara itu, di Belanda, Openbaar Ministerie (OM) atau Kejaksaan Negeri Belanda mengumumkan penangkapan tiga remaja berusia 17 tahun yang diduga menyediakan layanan kepada pemerintah asing. Salah satu dari mereka dilaporkan berhubungan langsung dengan kelompok peretas yang terkait pemerintah Rusia, memberi instruksi kepada dua lainnya untuk memetakan jaringan Wi-Fi di Den Haag. Informasi yang dikumpulkan kemudian dijual kepada “klien” untuk tujuan spionase digital dan serangan siber. Dua pelaku utama telah ditahan pada 22 September 2025, sedangkan satu lainnya dikenai tahanan rumah karena perannya dianggap lebih kecil.

Kasus ini menegaskan kembali bahwa ancaman siber berbasis negara kini tak hanya dijalankan oleh aktor elit, tetapi juga melibatkan jaringan lebih luas yang mencakup penyedia jasa lokal. Kombinasi agresivitas COLDRIVER dan munculnya pemain muda yang terlibat menunjukkan bahwa medan perang siber modern kini semakin terdesentralisasi—cepat, dinamis, dan berbahaya.