O ator de ameaças alinhado à Bielorrússia conhecido como Ghostwriter, também identificado como UAC-0057 e UNC1151, foi flagrado usando iscas relacionadas à Prometheus, uma plataforma ucraniana de ensino on-line, para mirar organizações governamentais do país.
Segundo a equipe de resposta a incidentes de computação da Ucrânia, o CERT-UA, a operação envolve o envio de emails de phishing para órgãos públicos a partir de contas comprometidas.
A atividade está em andamento desde a primavera de 2026.
“Normalmente, o email contém um anexo em PDF com um link que, ao ser clicado, leva ao download de um arquivo ZIP que contém um arquivo JavaScript”, informou a agência em um relatório divulgado na quinta-feira.
O arquivo JavaScript, batizado de OYSTERFRESH, foi projetado para exibir um documento isca como mecanismo de distração, enquanto grava de forma furtiva um payload ofuscado e criptografado chamado OYSTERBLUES no Registro do Windows, além de baixar e executar o OYSTERSHUCK, responsável por decodificar o OYSTERBLUES.
O OYSTERBLUES foi preparado para coletar uma ampla gama de informações do sistema, incluindo nome do computador, conta de usuário, versão do sistema operacional, horário do último boot do sistema e uma lista de processos em execução.
Os dados coletados são enviados a um servidor de comando e controle (C2) por meio de uma solicitação HTTP POST.
Em seguida, o malware aguarda novas respostas com código JavaScript da próxima etapa, que é executado pela função eval().
O payload final é avaliado como sendo o Cobalt Strike, um framework de simulação de adversário amplamente abusado em atividades de pós-exploração.
“Para reduzir a probabilidade de exploração dessa ameaça cibernética, é aconselhável aplicar medidas básicas conhecidas para diminuir a superfície de ataque, especificamente restringindo a capacidade de executar wscript.exe para contas de usuários padrão”, disse o CERT-UA.
A divulgação ocorre no momento em que o Conselho de Segurança e Defesa Nacional da Ucrânia revelou o uso, pela Rússia, de ferramentas de inteligência artificial, como o ChatGPT da OpenAI e o Google Gemini, para mapear alvos e incorporar a tecnologia em malware para gerar comandos maliciosos em tempo de execução.
O órgão também citou grupos de hacking apoiados pelo Kremlin por conduzirem ataques cibernéticos com foco na obtenção de inteligência e na manutenção de presença de longo prazo em redes comprometidas para exploração posterior, inclusive com apoio a operações de influência.
“Os principais vetores de penetração inicial em 2025 foram a engenharia social, a exploração de vulnerabilidades, o uso de contas RDP e VPN comprometidas, ataques à supply chain e o uso de software sem licença que já contém backdoors embutidos na etapa de instalação”, disse o Conselho.
“Os atacantes se concentraram em roubar informações sensíveis, interceptar comunicações e rastrear a localização dos alvos.”
Em um desdobramento relacionado, surgiram detalhes sobre uma campanha de propaganda pró-Kremlin que sequestrou contas reais de usuários do Bluesky para publicar conteúdo falso desde 2024.
Entre as contas comprometidas, estavam jornalistas e professores.
A atividade foi atribuída a uma empresa sediada em Moscou chamada Social Design Agency, ligada a uma campanha conhecida como Matryoshka.
Em alguns desses casos, o Bluesky suspendeu as contas até que os proprietários iniciassem a redefinição do acesso.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...