O grupo de ameaças alinhado a Belarus conhecido como Ghostwriter foi atribuído a uma nova onda de ataques contra organizações governamentais na Ucrânia.
Ativo desde pelo menos 2016, o Ghostwriter é associado tanto à espionagem cibernética quanto a operações de influência voltadas a países vizinhos, especialmente a Ucrânia.
O grupo também é acompanhado pelos nomes FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC‑0057, Umbral Bison, anteriormente RepeatingUmbra, UNC1151 e White Lynx.
“A FrostyNeighbor vem conduzindo operações cibernéticas contínuas, mudando e atualizando regularmente seu conjunto de ferramentas, sua cadeia de comprometimento e seus métodos de evasão para evitar detecção, com foco em vítimas localizadas no Leste Europeu”, afirmou a ESET em relatório compartilhado.
Em ataques anteriores, a quadrilha explorou uma família de malware conhecida como PicassoLoader, que funciona como ponte para o Cobalt Strike Beacon e o njRAT.
No fim de 2023, o threat actor também foi visto explorando uma vulnerabilidade no WinRAR, a
CVE-2023-38831
, com CVSS 7,8, para implantar o PicassoLoader e o Cobalt Strike.
Mais recentemente, no ano passado, entidades polonesas foram alvo de uma campanha de phishing orquestrada pelo Ghostwriter que explorou uma falha de cross-site no Roundcube, a
CVE-2024-42009
, com CVSS 9,3, para executar JavaScript malicioso responsável por capturar credenciais de acesso a e-mail.
Em pelo menos alguns casos, os threat actors teriam usado as credenciais obtidas para analisar o conteúdo das caixas de entrada, baixar a lista de contatos e abusar da conta comprometida para enviar mais mensagens de phishing, segundo relatório do CERT Polska divulgado em junho de 2025.
No fim de 2025, o grupo também passou a incorporar uma técnica antianálise em que documentos de isca dependiam de verificações dinâmicas de CAPTCHA para acionar a cadeia de ataque.
“A FrostyNeighbor continua sendo um threat actor persistente e adaptável, demonstrando um alto nível de maturidade operacional com o uso de documentos de isca diversos, variantes em evolução de isca e downloader, além de novos mecanismos de entrega”, disse o pesquisador da ESET Damien Schaeffer.
“A mais recente cadeia de comprometimento que detectamos é uma continuação da disposição do grupo em atualizar e renovar seu arsenal, tentando evitar a detecção para comprometer seus alvos.”
As atividades mais recentes, observadas desde março de 2026, envolvem o uso de links em PDFs maliciosos enviados como anexos em spear phishing para atingir entidades governamentais na Ucrânia, resultando na implantação de uma versão em JavaScript do PicassoLoader para carregar o Cobalt Strike.
Os documentos PDF de isca foram identificados como imitações da empresa ucraniana de telecomunicações Ukrtelecom.
A sequência de infecção inclui uma verificação de geofencing, que serve um arquivo PDF benigno às vítimas cujo endereço IP não corresponde à Ucrânia.
O link embutido no documento PDF é usado para entregar um arquivo RAR contendo um payload em JavaScript que exibe um documento de isca para manter a encenação, ao mesmo tempo em que aciona o PicassoLoader em segundo plano.
O downloader também foi projetado para coletar perfil e impressões digitais do host comprometido, com base nos quais os operadores podem decidir manualmente enviar um dropper em JavaScript de terceira etapa para o Cobalt Strike Beacon.
A impressão digital do sistema é transmitida a uma infraestrutura controlada pelo atacante a cada 10 minutos, permitindo que o threat actor avalie se a vítima é de interesse.
A atividade parece se concentrar principalmente em organizações militares, do setor de defesa e governamentais na Ucrânia, enquanto a distribuição de vítimas na Polônia e na Lituânia é mais ampla, alcançando os setores industrial e de manufatura, saúde e farmacêutico, logística e governo.
“A FrostyNeighbor continua sendo um threat actor persistente e adaptável, demonstrando um alto nível de maturidade operacional com o uso de documentos de isca diversos, variantes em evolução de isca e downloader, além de novos mecanismos de entrega”, afirmou a ESET.
“O payload só é entregue após a validação da vítima no lado do servidor, combinando verificações automatizadas do user agent e do endereço IP com validação manual pelos operadores.”
Gamaredon distribui GammaDrop e GammaLoad em ataques na Ucrânia
A divulgação ocorre no momento em que o grupo de hackers Gamaredon, afiliado à Rússia, foi ligado a uma campanha de spear phishing contra instituições estatais ucranianas desde setembro de 2025, com o objetivo de entregar os malware downloaders GammaDrop e GammaLoad por meio de arquivos RAR que exploram a
CVE-2025-8088
.
“Esses e-mails, falsificados ou enviados a partir de contas governamentais comprometidas, distribuem downloaders persistentes e multietapas em VBScript que fazem o perfil do sistema infectado”, afirmou a HarfangLab.
“Há pouca novidade técnica aqui, mas o Gamaredon nunca dependeu de sofisticação.
A força do grupo está em seu ritmo operacional incessante e em sua escala.”
Rússia é alvo de BO Team e Hive0117
As descobertas também sucedem um relatório da Kaspersky segundo o qual o grupo hacktivista pró-Ucrânia conhecido como BO Team, também chamado Black Owl, pode estar trabalhando com o Head Mare, também chamado PhantomCore, em ataques contra organizações russas, com base em sobreposição de infraestrutura e ferramentas.
Os ataques orquestrados pelo BO Team em 2026 usaram spear phishing para distribuir BrockenDoor e ZeronetKit, sendo que este último também é capaz de comprometer sistemas Linux.
Também foi observada nessas campanhas uma backdoor em Go até então não documentada, chamada ZeroSSH, capaz de executar comandos arbitrários usando “cmd.exe” e estabelecer um canal SSH reverso.
Até 20 organizações foram alvo do BO Team no primeiro trimestre de 2026.
“A natureza da interação entre os grupos continua indefinida, mas as interseções registradas de ferramentas e infraestrutura indicam pelo menos a possibilidade de coordenação de ações contra organizações russas”, disse a Kaspersky.
Nos últimos meses, empresas russas também foram alvo de um grupo motivado financeiramente chamado Hive0117, que teria roubado mais de 14 milhões de rublos ao invadir computadores de contadores por meio de campanhas de phishing e disfarçar transferências como pagamentos salariais.
Segundo a F6, os e-mails de phishing foram enviados a mais de 3.000 organizações russas entre fevereiro e março de 2026.
Além da Rússia, a atividade também mirou usuários da Lituânia, Estônia, Belarus e Cazaquistão.
Os ataques usam iscas temáticas de fatura para distribuir arquivos RAR que contêm arquivos maliciosos destinados a implantar o DarkWatchman, um trojan de acesso remoto atribuído ao grupo.
“Usando acesso remoto a sistemas de banco on-line por meio de computadores de contadores comprometidos, eles iniciaram pagamentos para contas bancárias listadas no cadastro”, disse a F6.
“Anteriormente, isso parecia uma transferência de folha de pagamento, mas o cadastro listava contas bancárias de mulas.
Se essas transações não passassem pelos sistemas antifraude, os atacantes conseguiam sacar quantias significativas das contas das empresas.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...