Google研究人員稱，有證據表明，被追蹤為”Cold River”的一個臭名昭著的與俄羅斯有關聯的駭客組織正在將其戰術從網路釣魚演變為針對受害者的資料竊取惡意軟體。

Cold River 又名”Callisto Group”和”Star Blizzard”，長期針對北約國家，尤其是美國和英國開展間諜活動而聞名。

研究人員認為，該組織的活動通常以參與國際事務和國防的知名人士和組織為目標，顯示其與俄羅斯關係密切。美國檢察官於12 月起訴了兩名與該組織有關的俄羅斯人。

Google威脅分析小組（TAG）在本週的新研究中表示，該小組觀察到Cold River 在最近幾個月加強了活動，並使用了能夠對其受害者（主要是烏克蘭及其北約盟國的目標、學術機構和非政府組織）造成更多破壞的新策略。

這些最新發現是在微軟研究人員報告說這個與俄羅斯結盟的駭客組織提高了逃避偵測的能力後不久得出的。

TAG 研究人員在本週四發布的研究報告之前分享了該研究報告，他們在報告中指出，Cold River 已不再採用其慣用的釣魚獲取憑證的策略，而是透過使用PDF 文件作為誘餌的活動來傳播惡意軟體。

TAG 稱，自2022 年11 月以來，Cold River 已向目標發送了一些PDF 文檔，它們偽裝成意見編輯文章或其他類型的文章，欺騙帳戶希望徵求對這些文章的反饋意見。

當受害者開啟良性PDF 文件時，文字會顯示為已加密。如果目標回應說他們無法閱讀該文檔，駭客就會發送一個指向”解密”工具的鏈接，Google研究人員稱這是一個被追蹤為”SPICA”的定制後門。谷歌稱，這是Cold River 開發和使用的第一個自訂惡意軟體，攻擊者可以透過這個後門持續存取受害者的機器，執行命令、竊取瀏覽器cookie 和外洩文件。

TAG公司的安全工程師比利-倫納德（Billy Leonard）表示，Google並不清楚被SPICA成功入侵的受害者數量，但他表示，Google相信SPICA只被用於”非常有限的、有針對性的攻擊”。倫納德補充說，該惡意軟體很可能仍在積極開發中，並被用於正在進行的攻擊中，而且儘管有執法行動，Cold River 的活動”在過去幾年中保持了相當的一致性” 。

谷歌表示，在發現Cold River 惡意軟體活動後，這家科技巨頭將所有已識別的網站、網域和文件添加到其安全瀏覽服務中，以阻止該活動進一步針對Google用戶。

Google研究人員先前曾將Cold River 組織與一次駭客洩密行動聯繫起來，該行動竊取並洩露了大量支持英國脫歐的高層人士的電子郵件和文件，其中包括英國外國情報機構軍情六處（MI6）前負責人理查德-迪爾洛夫爵士（Sir Richard Dearlove）。