Se cree que un grupo de amenazas bielorruso conocido como Ghostwriter está detrás de nuevos ataques dirigidos a agencias gubernamentales en Ucrania.
Ghostwriter ha estado activo desde al menos 2016 y se dice que está involucrado tanto en ciberespionaje como en operaciones de influencia dirigidas a países vecinos, particularmente Ucrania. También se le ha rastreado con los nombres FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC‑0057, Umbral Bison (anteriormente RepeatingUmbra), UNC1151 y White Lynx.
«FrostyNeighbor está llevando a cabo una operación cibernética continua, cambiando y actualizando periódicamente su conjunto de herramientas, actualizando su cadena de compromiso y sus métodos para evadir la detección, y apuntando a víctimas ubicadas en Europa del Este», dijo ESET en un informe compartido con Hacker News.
Los ataques anteriores lanzados por el equipo de hackers utilizaron una familia de malware conocida como PicassoLoader, que sirvió como conducto hacia Cobalt Strike Beacon y njRAT. A finales de 2023, también se observó a este actor implementando PicassoLoader y Cobalt Strike explotando una vulnerabilidad en WinRAR (CVE-2023-38831, puntuación CVSS: 7,8).
El año pasado, empresas polacas fueron víctimas de una campaña de phishing organizada por Ghostwriter. Esta campaña aprovechó una falla entre sitios en Roundcube (CVE-2024-42009, puntuación CVSS: 9.3) para ejecutar JavaScript malicioso que recuperaba las credenciales de inicio de sesión de correo electrónico.
Al menos en algunos casos, los atacantes utilizaron las credenciales recopiladas para analizar el contenido de los buzones de correo, descargar listas de contactos y explotar cuentas comprometidas para difundir más mensajes de phishing, según un informe de CERT Polska de junio de 2025. Hacia finales de 2025, el grupo también comenzó a incorporar técnicas contraanalíticas, con documentos señuelo que se basaban en comprobaciones dinámicas de CAPTCHA para desencadenar cadenas de ataque.
«FrostyNeighbor sigue siendo un actor de amenazas persistente y adaptable, demostrando un alto nivel de madurez operativa con su diversa documentación de señuelos, variantes de señuelos y descargadores en evolución, y el uso de nuevos mecanismos de entrega», dijo el investigador de ESET Damien Schaeffer. «Esta última cadena de compromisos que detectamos es una continuación de la voluntad del grupo de actualizar y actualizar su arsenal en un intento de evadir la detección para comprometer sus objetivos».
El conjunto de actividades más reciente observado desde marzo de 2026 incluyó atacar a agencias gubernamentales ucranianas utilizando enlaces en archivos PDF maliciosos enviados a través de archivos adjuntos de phishing y, en última instancia, implementar una versión JavaScript de PicassoLoader para eliminar Cobalt Strike. Se descubrió que el documento señuelo en PDF se hacía pasar por la empresa de telecomunicaciones ucraniana Ukrtelcom.
La secuencia de infección incluye una verificación de geofencing, que proporciona un archivo PDF inofensivo a las víctimas cuya dirección IP no corresponde a Ucrania. Se utiliza un enlace incrustado dentro del documento PDF para entregar un archivo RAR que contiene una carga útil de JavaScript que muestra un documento señuelo para continuar con la artimaña, al mismo tiempo que inicia PicassoLoader en segundo plano.
Este descargador está diseñado para perfilar y tomar huellas dactilares de los hosts comprometidos, en función de los cuales los operadores pueden decidir manualmente enviar el cuentagotas de JavaScript de tercera etapa de Cobalt Strike Beacon. Las huellas digitales del sistema se envían a la infraestructura controlada por el atacante cada 10 minutos, lo que le permite evaluar si la víctima es de interés.
En Ucrania, esta actividad parece centrarse principalmente en el ejército, el sector de defensa y las organizaciones gubernamentales, pero en Polonia y Lituania, el daño es mucho más amplio y afecta a los sectores industrial y manufacturero, sanitario y farmacéutico, logístico y gubernamental.
«FrostyNeighbor sigue siendo un atacante persistente y adaptable, demostrando un alto nivel de madurez operativa con documentación diversa de señuelos, variantes de señuelos y descargadores en evolución, y el uso de nuevos mecanismos de entrega», dijo ESET. «La carga útil sólo se entrega después de la verificación de la víctima del lado del servidor, que combina la verificación automática del agente de usuario solicitante y la dirección IP con la verificación manual por parte del operador».
Gamaredon proporciona GammaDrop y GammaLoad en el ataque de Ucrania
Esta divulgación se produce cuando el grupo de piratería ruso Gamaredon ha estado involucrado en una campaña de phishing dirigida a instituciones estatales ucranianas desde septiembre de 2025 con el objetivo de distribuir malware de descarga GammaDrop y GammaLoad a través de archivos RAR que explotan CVE-2025-8088.
«Estos correos electrónicos provienen de cuentas gubernamentales falsificadas o comprometidas y entregan descargadores de VBScript persistentes y de múltiples etapas que perfilan los sistemas infectados», dijo HarfangLab. «Si bien aquí hay poca novedad tecnológica, Gamaredon nunca se ha basado en la sofisticación. La fuerza del grupo reside en su implacable ritmo y escala operativa».
Rusia es el objetivo del equipo BO y Hive0117
Los hallazgos también siguen a un informe de Kaspersky Lab de que un grupo hacktivista proucraniano conocido como BO Team (también conocido como Black Owl) puede estar colaborando con Head Mare (también conocido como PhantomCore) en ataques dirigidos a organizaciones rusas, citando infraestructura y herramientas superpuestas. Un ataque orquestado por el equipo de BO en 2026 utilizó phishing para atacar BrockenDoor y ZeronetKit, el último de los cuales también podría comprometer los sistemas Linux.
Estos ataques también identificaron una puerta trasera basada en Go previamente no documentada llamada ZeroSSH que puede usar «cmd.exe» para ejecutar comandos arbitrarios y establecer un canal SSH inverso. Los equipos de BO se dirigirán a hasta 20 organizaciones en el primer trimestre de 2026.
«Aunque la naturaleza de las interacciones entre los dos grupos sigue sin estar clara, la intersección registrada de herramientas e infraestructura sugiere que al menos las acciones contra la entidad rusa pueden estar coordinadas», dijo Kaspersky.
En los últimos meses, las empresas rusas también han sido blanco de un grupo con fines financieros llamado Hive0117, que intentó robar más de 14 millones de rublos infiltrándose en los ordenadores de los contables mediante campañas de phishing y disfrazando transferencias como pagos de nómina. Según F6, los correos electrónicos de phishing se enviaron a más de 3.000 organizaciones en Rusia entre febrero y marzo de 2026.
Además de Rusia, la campaña también se dirige a usuarios de Lituania, Estonia, Bielorrusia y Kazajstán. El ataque utiliza un señuelo con temática de factura para distribuir un archivo RAR que contiene archivos maliciosos y soltar DarkWatchman, un troyano de acceso remoto atribuido al grupo.
F6 dijo que «accedió de forma remota al sistema bancario en línea a través de la computadora del contador infectado y comenzó a depositar dinero en la cuenta bancaria que figura en el registro». «Antes esto parecía un depósito de nómina, pero en el registro figuraba la cuenta bancaria de Rava. Si dichas transacciones de pago no pasaran por los sistemas de prevención de fraude, el atacante podría retirar grandes sumas de dinero de la cuenta de la empresa».
Source link
