Google研究人员称，有证据表明，被追踪为"Cold River"的一个臭名昭著的与俄罗斯有关联的黑客组织正在将其战术从网络钓鱼演变为针对受害者的数据窃取恶意软件。

Cold River 又名"Callisto Group"和"Star Blizzard"，因长期针对北约国家，尤其是美国和英国开展间谍活动而闻名。

研究人员认为，该组织的活动通常以参与国际事务和国防的知名人士和组织为目标，表明其与俄罗斯关系密切。美国检察官于 12 月起诉了两名与该组织有关联的俄罗斯人。

Google威胁分析小组（TAG）在本周的新研究中表示，该小组观察到 Cold River 在最近几个月加强了活动，并使用了能够对其受害者（主要是乌克兰及其北约盟国的目标、学术机构和非政府组织）造成更多破坏的新策略。

这些最新发现是在微软研究人员报告说这个与俄罗斯结盟的黑客组织提高了逃避检测的能力后不久得出的。

TAG 研究人员在本周四发布的研究报告之前分享了该研究报告，他们在报告中指出，Cold River 已不再采用其惯用的钓鱼获取凭证的策略，而是通过使用 PDF 文档作为诱饵的活动来传播恶意软件。

TAG 称，自 2022 年 11 月以来，Cold River 已向目标发送了一些 PDF 文档，它们伪装成意见编辑文章或其他类型的文章，欺骗账户希望征求对这些文章的反馈意见。

当受害者打开良性 PDF 文件时，文本会显示为已加密。如果目标回应说他们无法阅读该文档，黑客就会发送一个指向"解密"工具的链接，Google研究人员称这是一个被追踪为"SPICA"的定制后门。Google称，这是 Cold River 开发和使用的第一个定制恶意软件，攻击者可以通过这个后门持续访问受害者的机器，执行命令、窃取浏览器 cookie 和外泄文档。

TAG公司的安全工程师比利-伦纳德（Billy Leonard）表示，Google并不清楚被SPICA成功入侵的受害者数量，但他表示，Google相信SPICA只被用于"非常有限的、有针对性的攻击"。伦纳德补充说，该恶意软件很可能仍在积极开发中，并被用于正在进行的攻击中，而且尽管有执法行动，Cold River 的活动"在过去几年中保持了相当的一致性"。

Google表示，在发现 Cold River 恶意软件活动后，这家技术巨头将所有已识别的网站、域名和文件添加到其安全浏览服务中，以阻止该活动进一步针对Google用户。

Google研究人员此前曾将 Cold River 组织与一次黑客泄密行动联系起来，该行动窃取并泄露了大量支持英国脱欧的高层人士的电子邮件和文件，其中包括英国外国情报机构军情六处（MI6）前负责人理查德-迪尔洛夫爵士（Sir Richard Dearlove）。