Belarus bağlantılı siber casusluk grubu olan Ghostwriter, araştırmacılara göre, Ukrayna hükümet kurumlarını hedef alan yeni bir oltalama kampanyası başlattı; bu kampanya özenle hazırlanmış PDF yemleri ve coğrafi hasarlı kötü amaçlı yazılım dağıtım teknikleri kullanıyor.
ESET’teki güvenlik araştırmacıları, saldırıları FrostyNeighbor, UNC1151, UAC-0057, Storm-0257 ve White Lynx olarak da takip edilen tehdit grubuna bağladı. Grup en az 2016’dan beri aktiftir ve Belarus devlet çıkarları adına faaliyet gösterdiğine yaygın olarak inanılır.
Belirtilenlere ESET göre, son saldırılar Mart 2026’da başladı ve ağırlıklı olarak Doğu Avrupa’daki Ukrayna hükümet kurumları ve kuruluşlarına odaklandı. Mağdurlar, Ukraynalı telekomünikasyon sağlayıcısı Ukrtelecom’dan meşru iletişim kılığında PDF belgeleri içeren oltalama e-postaları aldı.
Kampanya, yalnızca hedef alınan hedeflere kötü amaçlı yazılım dağıtmak için bir coğrafi çit mekanizması kullandı. Alıcılar PDF dosyalarının içindeki gömülü bağlantılara tıkladığında, saldırganlar önce mağdurun IP adresini kontrol etti. Kullanıcı Ukrayna içinde gibi görünüyorsa, sunucu zararsız bir aldatıcı dosya yerine kötü amaçlı bir RAR arşivi gönderirdi.
Arşiv, sık sık Hayalet Yazar işlemleriyle ilişkilendirilen bir kötü amaçlı yazılım yükleyicisi olan PicassoLoader’ı içeriyordu. Yürütüldüğünde, PicassoLoader casusluk, uzaktan erişim ve tehlikeye girmiş ağlarda yan hareket için yaygın olarak kullanılan Cobalt Strike Beacon ve njRAT gibi ek yükler yerleştirdi.
Araştırmacılar, grubun tespit edilmemek için saldırı zincirini ve kötü amaçlı yazılım altyapısını sürekli değiştirdiğini belirtti. ESET, FrostyNeighbor’un uzlaşma tekniklerini, teslimat yöntemlerini ve araçlarını düzenli olarak güncellediğini ve uzun süredir Doğu Avrupa hedeflerine odaklandığını belirtti.
Kampanya ayrıca DLL yan yüklemesine ve kötü niyetli faaliyetleri meşru sistem davranışlarıyla harmanlayan güncellenmiş PowerShell tabanlı araçlara dayanıyordu. Önceki Hayalet Yazar operasyonları benzer şekilde, Ukrayna ordusu ve hükümet birimlerine karşı zararlı yazılım yaymak için silahlandırılmış Excel belgeleri, kötü amaçlı makrolar ve WinRAR açıkları kullanmıştır.
Hayalet yazar, Ukrayna, Polonya, Litvanya, Letonya ve diğer Avrupa ülkelerini hedef alan siber casusluk ve dezenformasyon operasyonlarıyla defalarca ilişkilendirilmiştir. Güvenlik ajansları ve araştırmacılar, grubu yanlış anlatılar yaymayı ve bölgesel hükümetleri istikrarsızlaştırmayı amaçlayan etki kampanyalarıyla oltalama saldırılarını birleştirmekle suçladı.
Rusya’nın Ukrayna’yı işgali sırasında Hayalet Yazarlık faaliyetleri önemli ölçüde yoğunlaştı. Ukraynalı yetkililer, Microsoft, Google, Meta ve birçok siber güvenlik şirketi, grubun askeri personeli, hükümet yetkiliyini, gazetecileri ve kamu figürlerini kimlik bilgileri hırsızlığı kampanyaları ve kötü amaçlı yazılım saldırıları kullanarak hedef aldığını daha önce uyarmıştı.
Araştırmacılar, yeni kampanyanın operasyonel hassasiyetin arttığını gösterdiğini söylüyor. Geofencing ile yük teslimatı yaparak saldırganlar, araştırmacılar tarafından kötü amaçlı yazılımların analiz edilmesi veya hedef bölge dışındaki istemesiz kurbanların yanlışlıkla enfekte edilmesi riskini azaltır.