De aan Belarus gelinkte cyberspionagegroep Ghostwriter is een nieuwe phishingcampagne gestart die zich richt op Oekraïense overheidsorganisaties met zorgvuldig opgebouwde PDF-lokmiddelen en geofenced malware-leveringstechnieken, zeggen onderzoekers.
Beveiligingsonderzoekers bij ESET schreven de aanvallen toe aan de dreigingsgroep die ook werd gevolgd als FrostyNeighbor, UNC1151, UAC-0057, Storm-0257 en White Lynx. De groep is sinds minstens 2016 actief en men gelooft algemeen dat zij opereert namens de belangen van de Wit-Russische staat.
Volgens ESET , begonnen de laatste aanvallen in maart 2026 en richtten ze zich voornamelijk op Oekraïense overheidsinstellingen en entiteiten in Oost-Europa. Slachtoffers ontvingen phishing-e-mails met PDF-documenten die zich voordeden als legitieme communicatie van de Oekraïense telecommunicatieprovider Ukrtelecom.
De campagne gebruikte een geofencing-mechanisme om malware selectief alleen op beoogde doelen in te zetten. Wanneer ontvangers op ingebedde links in de PDF-bestanden klikten, controleerden aanvallers eerst het IP-adres van het slachtoffer. Als de gebruiker zich in Oekraïne leek te bevinden, leverde de server een kwaadaardig RAR-archief in plaats van een onschuldig lokbestand.
Het archief bevatte PicassoLoader, een malwareloader die vaak werd geassocieerd met Ghostwriter-operaties. Na uitvoering zette PicassoLoader extra payloads in, waaronder Cobalt Strike Beacon en njRAT, tools die vaak worden gebruikt voor spionage, remote access en laterale beweging binnen gecompromitteerde netwerken.
Onderzoekers zeiden dat de groep haar aanvalketen en malware-infrastructuur continu heeft aangepast om detectie te voorkomen. ESET merkte op dat FrostyNeighbor regelmatig zijn compromistechnieken, leveringsmethoden en gereedschappen bijwerkt, terwijl het zich op lange termijn richt op Oost-Europese doelen.
De campagne maakte ook gebruik van DLL-sideloading en geüpdatete PowerShell-gebaseerde tools die kwaadaardige activiteiten moesten combineren met legitiem systeemgedrag. Eerdere Ghostwriter-operaties gebruikten op vergelijkbare wijze gewapende Excel-documenten, kwaadaardige macro’s en WinRAR-exploits om malware te leveren tegen Oekraïense militaire en overheidsinstanties.
Ghostwriter is herhaaldelijk in verband gebracht met cyberspionage- en desinformatieoperaties gericht op Oekraïne, Polen, Litouwen, Letland en andere Europese landen. Veiligheidsdiensten en onderzoekers hebben de groep ervan beschuldigd phishingaanvallen te combineren met beïnvloedingscampagnes die bedoeld zijn om valse verhalen te verspreiden en regionale overheden te destabiliseren.
Tijdens de invasie van Oekraïne door Rusland nam de activiteit van Ghostwriters aanzienlijk toe. Oekraïense autoriteiten, Microsoft, Google, Meta en meerdere cyberbeveiligingsbedrijven waarschuwden eerder dat de groep militair personeel, overheidsfunctionarissen, journalisten en publieke figuren aanviel met campagnes voor het stelen van inloggegevens en malware-aanvallen.
Onderzoekers zeggen dat de nieuwe campagne een groeiend niveau van operationele precisie laat zien. Door payload-levering te geofencencen verkleinen aanvallers de kans dat malware door onderzoekers wordt geanalyseerd of per ongeluk onbedoelde slachtoffers buiten het doelgebied infecteert.