El grupo de ciberespionaje vinculado a Bielorrusia conocido como Ghostwriter ha lanzado una nueva campaña de phishing dirigida a organizaciones gubernamentales ucranianas utilizando señuelos PDF cuidadosamente elaborados y técnicas de entrega de malware geocercada, según investigadores.
Investigadores de seguridad de ESET atribuyeron los ataques al grupo de amenazas también rastreado como FrostyNeighbor, UNC1151, UAC-0057, Storm-0257 y White Lynx. El grupo ha estado activo al menos desde 2016 y se cree ampliamente que opera en nombre de los intereses del Estado bielorruso.
Según ESET , los últimos ataques comenzaron en marzo de 2026 y se centraron principalmente en instituciones y entidades gubernamentales ucranianas ubicadas en Europa del Este. Las víctimas recibieron correos electrónicos de phishing que contenían documentos PDF disfrazados de comunicaciones legítimas del proveedor ucraniano de telecomunicaciones Ukrtelecom.
La campaña utilizó un mecanismo de geocerca para desplegar malware selectivamente solo en los objetivos previstos. Cuando los destinatarios hacían clic en enlaces incrustados dentro de los archivos PDF, los atacantes primero comprobaban la dirección IP de la víctima. Si el usuario parecía estar ubicado dentro de Ucrania, el servidor entregaba un archivo RAR malicioso en lugar de un archivo señuelo inofensivo.
El archivo contenía PicassoLoader, un cargador de malware frecuentemente asociado con operaciones de escritores fantasma. Una vez ejecutado, PicassoLoader desplegó cargas útiles adicionales, incluyendo Cobalt Strike Beacon y njRAT, herramientas comúnmente utilizadas para espionaje, acceso remoto y movimiento lateral dentro de redes comprometidas.
Los investigadores afirmaron que el grupo ha modificado continuamente su cadena de ataques e infraestructura de malware para evitar ser detectado. ESET señaló que FrostyNeighbor actualiza regularmente sus técnicas de compromiso, métodos de entrega y herramientas, manteniendo un enfoque duradero en objetivos de Europa del Este.
La campaña también se basó en la carga lateral de DLL y actualizó herramientas basadas en PowerShell diseñadas para combinar actividad maliciosa con comportamiento legítimo del sistema. Operaciones anteriores de Ghostwriter también usaban documentos Excel armados, macros maliciosas y exploits de WinRAR para entregar malware contra entidades militares y gubernamentales ucranianas.
Ghostwriter ha sido vinculado repetidamente a operaciones de ciberespionaje y desinformación dirigidas a Ucrania, Polonia, Lituania, Letonia y otros países europeos. Las agencias de seguridad e investigadores han acusado al grupo de combinar ataques de phishing con campañas de influencia destinadas a difundir narrativas falsas y desestabilizar gobiernos regionales.
Durante la invasión rusa de Ucrania, la actividad de escritores fantasma se intensificó significativamente. Las autoridades ucranianas, Microsoft, Google, Meta y varias empresas de ciberseguridad advirtieron previamente que el grupo atacó a personal militar, funcionarios gubernamentales, periodistas y figuras públicas mediante campañas de robo de credenciales y ataques con malware.
Los investigadores afirman que la nueva campaña demuestra un nivel creciente de precisión operativa. Mediante la geovallada de la entrega de la carga útil, los atacantes reducen la probabilidad de que el malware sea analizado por investigadores o infecte accidentalmente a víctimas no deseadas fuera de la región objetivo.