O grupo de espionagem cibernética ligado à Bielorrússia, conhecido como Ghostwriter, lançou uma nova campanha de phishing direcionada a organizações governamentais ucranianas, utilizando iscas PDF cuidadosamente elaboradas e técnicas de entrega de malware geocercadas, segundo pesquisadores.
Pesquisadores de segurança da ESET atribuíram os ataques ao grupo de ameaça também rastreado como FrostyNeighbor, UNC1151, UAC-0057, Storm-0257 e White Lynx. O grupo está ativo desde pelo menos 2016 e é amplamente acreditado que atua em nome dos interesses do Estado bielorrusso.
Segundo ESET , os ataques mais recentes começaram em março de 2026 e se concentraram principalmente em instituições e entidades governamentais ucranianas localizadas na Europa Oriental. As vítimas receberam e-mails de phishing contendo documentos PDF disfarçados de comunicações legítimas da operadora ucraniana de telecomunicações Ukrtelecom.
A campanha utilizou um mecanismo de geofencing para implantar seletivamente malware apenas nos alvos pretendidos. Quando os destinatários clicavam em links embutidos dentro dos arquivos PDF, os atacantes primeiro verificavam o endereço IP da vítima. Se o usuário parecesse estar localizado dentro da Ucrânia, o servidor entregava um arquivo RAR malicioso em vez de um arquivo isca inofensivo.
O arquivo continha o PicassoLoader, um carregador de malware frequentemente associado às operações do Ghostwriter. Uma vez executado, o PicassoLoader implantou cargas úteis adicionais, incluindo o Cobalt Strike Beacon e o njRAT, ferramentas comumente usadas para espionagem, acesso remoto e movimentação lateral dentro de redes comprometidas.
Pesquisadores disseram que o grupo tem modificado continuamente sua cadeia de ataques e infraestrutura de malware para evitar a detecção. A ESET observou que a FrostyNeighbor atualiza regularmente suas técnicas de compromisso, métodos de entrega e ferramentas, mantendo um foco de longa data em alvos do Leste Europeu.
A campanha também dependia de DLL sideloading e ferramentas atualizadas baseadas em PowerShell, projetadas para combinar atividades maliciosas com comportamento legítimo do sistema. Operações anteriores do Ghostwriter também usavam documentos Excel armados, macros maliciosos e exploits WinRAR para entregar malware contra entidades militares e governamentais ucranianas.
Ghostwriter tem sido repetidamente ligado a operações de espionagem cibernética e desinformação que visam a Ucrânia, Polônia, Lituânia, Letônia e outros países europeus. Agências de segurança e pesquisadores acusaram o grupo de combinar ataques de phishing com campanhas de influência destinadas a espalhar narrativas falsas e desestabilizar governos regionais.
Durante a invasão da Ucrânia pela Rússia, a atividade dos escritores fantasmas se intensificou significativamente. Autoridades ucranianas, Microsoft, Google, Meta e várias empresas de cibersegurança já alertaram que o grupo tinha como alvo militares, autoridades governamentais, jornalistas e figuras públicas por meio de campanhas de roubo de credenciais e ataques de malware.
Pesquisadores afirmam que a nova campanha demonstra um nível crescente de precisão operacional. Ao geofencing da entrega da carga útil, os atacantes reduzem a chance de malware ser analisado por pesquisadores ou infectar acidentalmente vítimas não intencionais fora da região-alvo.