Die mit Belarus verbundene Cyber-Spionagegruppe Ghostwriter hat laut Forschern eine neue Phishing-Kampagne gestartet, die ukrainische Regierungsorganisationen mit sorgfältig gestalteten PDF-Ködern und geofenced Malware-Liefermethoden nutzt.
Sicherheitsforscher des ESET führten die Angriffe der Bedrohungsgruppe zu, die ebenfalls als FrostyNeighbor, UNC1151, UAC-0057, Storm-0257 und White Lynx verfolgt wurde. Die Gruppe ist seit mindestens 2016 aktiv und gilt weithin als im Interesse belarussischer Staatsinteressen.
Laut ESET , begannen die jüngsten Angriffe im März 2026 und konzentrierten sich hauptsächlich auf ukrainische Regierungsinstitutionen und -einrichtungen in Osteuropa. Die Opfer erhielten Phishing-E-Mails mit PDF-Dokumenten, die als legitime Kommunikation getarnt waren, vom ukrainischen Telekommunikationsanbieter Ukrtelecom.
Die Kampagne nutzte einen Geofencing-Mechanismus, um Malware selektiv nur für die vorgesehenen Ziele einzusetzen. Wenn die Empfänger auf eingebettete Links in den PDF-Dateien klickten, überprüften die Angreifer zunächst die IP-Adresse des Opfers. Wenn der Nutzer sich scheinbar in der Ukraine befand, lieferte der Server ein bösartiges RAR-Archiv statt einer harmlosen Täuschungsdatei.
Das Archiv enthielt PicassoLoader, einen Malware-Loader, der häufig mit Ghostwriter-Operationen in Verbindung gebracht wird. Nach der Ausführung setzte PicassoLoader zusätzliche Nutzlasten ein, darunter Cobalt Strike Beacon und njRAT, Werkzeuge, die häufig für Spionage, Fernzugriff und laterale Bewegung innerhalb kompromittierter Netzwerke verwendet werden.
Forscher sagten, die Gruppe habe ihre Angriffskette und Malware-Infrastruktur kontinuierlich modifiziert, um nicht entdeckt zu werden. ESET stellte fest, dass FrostyNeighbor regelmäßig seine Kompromisstechniken, Bereitstellungsmethoden und Werkzeuge aktualisiert und dabei langfristig den Fokus auf osteuropäische Ziele beibehält.
Die Kampagne setzte außerdem auf DLL-Sideloading und aktualisierte PowerShell-basierte Werkzeuge, die bösartige Aktivitäten mit legitimem Systemverhalten verbinden sollten. Frühere Ghostwriter-Operationen nutzten ähnlich bewaffnete Excel-Dokumente, bösartige Makros und WinRAR-Exploits, um Malware gegen ukrainisches Militär und Regierungsstellen zu liefern.
Ghostwriter wurden wiederholt mit Cyber-Spionage- und Desinformationsoperationen in Verbindung gebracht, die sich gegen die Ukraine, Polen, Litauen, Lettland und andere europäische Länder richteten. Sicherheitsbehörden und Forscher werfen der Gruppe vor, Phishing-Angriffe mit Einflusskampagnen zu kombinieren, die darauf abzielen, falsche Narrative zu verbreiten und regionale Regierungen zu destabilisieren.
Während der russischen Invasion in der Ukraine intensivierte sich die Ghostwriter-Aktivität erheblich. Ukrainische Behörden, Microsoft, Google, Meta und mehrere Cybersicherheitsfirmen warnten zuvor, dass die Gruppe Militärangehörige, Regierungsbeamte, Journalisten und öffentliche Persönlichkeiten mit Kampagnen zum Diebstählen von Ausgangsdaten und Malware-Angriffen ins Visier genommen habe.
Forscher sagen, dass die neue Kampagne ein wachsendes Maß an operativer Präzision zeigt. Durch die Geofencing der Nutzlastzustellung verringern Angreifer die Wahrscheinlichkeit, dass Malware von Forschern analysiert wird oder unbeabsichtigte Opfer außerhalb der Zielregion versehentlich infiziert.