Il gruppo di cyberspionaggio collegato alla Bielorussia noto come Ghostwriter ha lanciato una nuova campagna di phishing rivolta alle organizzazioni governative ucraine utilizzando esche PDF accuratamente elaborate e tecniche di consegna di malware geofenizzate, secondo i ricercatori.
I ricercatori di sicurezza di ESET hanno attribuito gli attacchi al gruppo di minaccia tracciato anche come FrostyNeighbor, UNC1151, UAC-0057, Storm-0257 e White Lynx. Il gruppo è attivo almeno dal 2016 ed è ampiamente ritenuto operare per conto degli interessi dello Stato bielorusso.
Secondo ESET , gli ultimi attacchi sono iniziati a marzo 2026 e si sono concentrati principalmente su istituzioni e enti governativi ucraini situati nell’Europa orientale. Le vittime hanno ricevuto email di phishing contenenti documenti PDF mascherati da comunicazioni legittime dal fornitore ucraino di telecomunicazioni Ukrtelecom.
La campagna utilizzava un meccanismo di geofencing per distribuire selettivamente malware solo ai bersagli previsti. Quando i destinatari cliccavano sui link incorporati all’interno dei file PDF, gli attaccanti controllavano prima l’indirizzo IP della vittima. Se l’utente sembrava trovarsi all’interno dell’Ucraina, il server forniva un archivio RAR malevolo invece di un file decoy innocuo.
L’archivio conteneva PicassoLoader, un caricatore di malware frequentemente associato alle operazioni di Ghostwriter. Una volta eseguito, PicassoLoader ha distribuito payload aggiuntivi, tra cui Cobalt Strike Beacon e njRAT, strumenti comunemente utilizzati per spionaggio, accesso remoto e movimento laterale all’interno di reti compromesse.
I ricercatori hanno affermato che il gruppo ha continuamente modificato la propria catena di attacco e l’infrastruttura malware per evitare il rilevamento. ESET ha osservato che FrostyNeighbor aggiorna regolarmente le sue tecniche di compromesso, i metodi di consegna e gli strumenti, mantenendo però un focus duraturo sugli obiettivi dell’Europa orientale.
La campagna si è inoltre basata su DLL sideloading e su strumenti aggiornati basati su PowerShell progettati per mescolare attività malevole con comportamenti legittimi del sistema. Le precedenti operazioni Ghostwriter utilizzavano analogamente documenti Excel armati, macro dannose ed exploit WinRAR per distribuire malware contro enti militari e governativi ucraini.
Ghostwriter è stato ripetutamente collegato a operazioni di spionaggio informatico e disinformazione che hanno preso di mira Ucraina, Polonia, Lituania, Lettonia e altri paesi europei. Le agenzie di sicurezza e i ricercatori hanno accusato il gruppo di combinare attacchi di phishing con campagne di influenza volte a diffondere narrazioni false e a destabilizzare i governi regionali.
Durante l’invasione russa dell’Ucraina, l’attività dei ghostwriter si intensificò significativamente. Le autorità ucraine, Microsoft, Google, Meta e diverse aziende di cybersecurity avevano precedentemente avvertito che il gruppo prendeva di mira personale militare, funzionari governativi, giornalisti e figure pubbliche utilizzando campagne di furto di credenziali e attacchi malware.
I ricercatori affermano che la nuova campagna dimostra un crescente livello di precisione operativa. Attraverso la geofencing della consegna del payload, gli attaccanti riducono la probabilità che il malware venga analizzato dai ricercatori o infetti accidentalmente vittime non intenzionali al di fuori della regione target.