Le groupe de cyberespionnage lié à la Biélorussie, connu sous le nom de Ghostwriter, a lancé une nouvelle campagne de phishing visant les organisations gouvernementales ukrainiennes en utilisant des leurres PDF soigneusement conçus et des techniques de diffusion de malwares géorefermés, selon des chercheurs.
Les chercheurs en sécurité d’ESET ont attribué les attaques au groupe de menace également suivi sous les noms de FrostyNeighbor, UNC1151, UAC-0057, Storm-0257 et White Lynx. Le groupe est actif depuis au moins 2016 et est largement considéré comme opérant au nom des intérêts de l’État biélorusse.
Selon ESET , les dernières attaques ont commencé en mars 2026 et se sont principalement concentrées sur des institutions et entités gouvernementales ukrainiennes situées en Europe de l’Est. Les victimes ont reçu des e-mails de phishing contenant des documents PDF déguisés en communications légitimes de la part du fournisseur de télécommunications ukrainien Ukrtelecom.
La campagne utilisait un mécanisme de géorepérage pour déployer sélectivement des malwares uniquement sur les cibles visées. Lorsque les destinataires cliquaient sur des liens intégrés dans les fichiers PDF, les attaquants vérifiaient d’abord l’adresse IP de la victime. Si l’utilisateur semblait se trouver en Ukraine, le serveur livrait une archive RAR malveillante au lieu d’un fichier leurre inoffensif.
L’archive contenait PicassoLoader, un chargeur de malwares fréquemment associé aux opérations Ghostwriter. Une fois exécuté, PicassoLoader déployait des charges utiles supplémentaires, dont Cobalt Strike Beacon et njRAT, des outils couramment utilisés pour l’espionnage, l’accès à distance et les déplacements latéraux au sein de réseaux compromis.
Les chercheurs ont indiqué que le groupe a continuellement modifié sa chaîne d’attaque et son infrastructure de logiciels malveillants pour éviter la détection. ESET a noté que FrostyNeighbor met régulièrement à jour ses techniques de compromis, ses méthodes de livraison et ses outils, tout en maintenant un focus durable sur les cibles d’Europe de l’Est.
La campagne s’appuyait également sur le sideloading de DLL et des outils PowerShell mis à jour conçus pour mêler activité malveillante à un comportement système authentique. Les précédentes opérations Ghostwriter utilisaient également des documents Excel militarisés, des macros malveillantes et des exploits WinRAR pour diffuser des malwares contre des entités militaires et gouvernementales ukrainiennes.
Ghostwriter a été à plusieurs reprises lié à des opérations d’espionnage cybernétique et de désinformation visant l’Ukraine, la Pologne, la Lituanie, la Lettonie et d’autres pays européens. Les agences de sécurité et les chercheurs ont accusé le groupe de combiner des attaques de phishing avec des campagnes d’influence visant à diffuser de faux récits et à déstabiliser les gouvernements régionaux.
Pendant l’invasion russe de l’Ukraine, l’activité des nègres littéraires s’est considérablement intensifiée. Les autorités ukrainiennes, Microsoft, Google, Meta et plusieurs sociétés de cybersécurité avaient déjà averti que le groupe ciblait des militaires, des responsables gouvernementaux, des journalistes et des personnalités publiques en utilisant des campagnes de vol de titres d’identité et des attaques contre des logiciels malveillants.
Les chercheurs affirment que la nouvelle campagne démontre un niveau de précision opérationnelle croissant. En géofencing de la livraison de la charge utile, les attaquants réduisent le risque que des malwares soient analysés par des chercheurs ou qu’ils infectent accidentellement des victimes non intentionnelles en dehors de la région cible.