El grupo Ghostwriter, vinculado a Bielorrusia, ha lanzado nuevos ataques de ciberespionaje contra entidades gubernamentales en Ucrania, Polonia y Lituania usando malware como PicassoLoader. Simultáneamente, el grupo ruso Gamaredon ataca instituciones ucranianas, mientras que BO Team y Hive0117 dirigen ofensivas contra organizaciones rusas con fines políticos y económicos. Estas operaciones destacan una constante evolución en las técnicas de phishing y evasión para comprometer sistemas críticos.




El grupo de amenazas alineado con Bielorrusia conocido como Ghostwriter ha sido atribuido a un nuevo conjunto de ataques dirigidos a organizaciones gubernamentales en Ucrania.

Activo desde al menos 2016, Ghostwriter ha sido vinculado tanto a ciberespionaje como a operaciones de influencia dirigidas a países vecinos, particularmente Ucrania. También es rastreado bajo los nombres de FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC‑0057, Umbral Bison (anteriormente RepeatingUmbra), UNC1151 y White Lynx.

"FrostyNeighbor ha estado ejecutando operaciones cibernéticas continuas, cambiando y actualizando su conjunto de herramientas regularmente, actualizando su cadena de compromiso y métodos para evadir la detección, dirigiéndose a víctimas ubicadas en Europa del Este", afirmó ESET en un informe compartido con ESET.

Ataques anteriores montados por la banda de hackers han aprovechado una familia de malware conocida como PicassoLoader, que luego actúa como conducto para Cobalt Strike Beacon y njRAT. A finales de 2023, también se observó al actor de amenazas utilizando una vulnerabilidad en WinRAR (CVE-2023-38831, puntuación CVSS: 7.8) para desplegar PicassoLoader y Cobalt Strike.

Tan recientemente como el año pasado, entidades polacas fueron el objetivo de una campaña de phishing orquestada por Ghostwriter que explotó una falla cross-site en Roundcube (CVE-2024-42009, puntuación CVSS: 9.3) para ejecutar JavaScript malicioso responsable de capturar credenciales de inicio de sesión de correo electrónico.

En al menos algunos casos, se dice que los actores de amenazas aprovecharon las credenciales recolectadas para analizar el contenido de los buzones, descargar la lista de contactos y abusar de la cuenta comprometida para propagar más mensajes de phishing, según un informe de CERT Polska en junio de 2025. Hacia finales de 2025, el grupo también comenzó a incorporar una técnica de anti-análisis donde los documentos señuelo dependían de comprobaciones dinámicas de CAPTCHA para activar la cadena de ataque.

"FrostyNeighbor sigue siendo un actor de amenazas persistente y adaptativo, demostrando un alto nivel de madurez operativa con el uso de diversos documentos señuelo, variantes evolucionadas de señuelos y descargadores, y nuevos mecanismos de entrega", dijo el investigador de ESET Damien Schaeffer. "Esta cadena de compromiso más reciente que detectamos es una continuación de la voluntad del grupo de actualizar y renovar su arsenal, tratando de evadir la detección para comprometer sus objetivos".

El último conjunto de actividades, observado desde marzo de 2026, implica el uso de enlaces en PDF maliciosos enviados a través de archivos adjuntos de spear-phishing para atacar entidades gubernamentales en Ucrania, resultando finalmente en el despliegue de una versión en JavaScript de PicassoLoader para instalar Cobalt Strike. Se ha descubierto que los documentos PDF señuelo suplantan a la compañía de telecomunicaciones ucraniana Ukrtelecom.

La secuencia de infección incorpora una comprobación de geofencing, sirviendo un archivo PDF benigno a las víctimas cuya dirección IP no corresponda a Ucrania. El enlace integrado en el documento PDF se utiliza para entregar un archivo RAR que contiene una carga útil de JavaScript que muestra un documento señuelo para mantener el engaño, mientras lanza simultáneamente PicassoLoader en segundo plano.

El descargador también está diseñado para perfilar y analizar el host comprometido, basándose en lo cual los operadores pueden decidir manualmente enviar un dropper de JavaScript de tercera etapa para Cobalt Strike Beacon. La huella del sistema se transmite a la infraestructura controlada por el atacante cada 10 minutos, permitiendo que el actor de amenazas evalúe si la víctima es de interés.



La actividad parece centrarse principalmente en organizaciones militares, del sector de defensa y gubernamentales en Ucrania, mientras que la victimología en Polonia y Lituania es mucho más amplia, dirigiéndose a los sectores industrial y de fabricación, salud y farmacéuticos, logística y gubernamentales.

"FrostyNeighbor sigue siendo un actor de amenazas persistente y adaptativo, demostrando un alto nivel de madurez operativa con el uso de diversos documentos señuelo, variantes evolucionadas de señuelos y descargadores, y nuevos mecanismos de entrega", dijo ESET. "La carga útil solo se entrega después de la validación de la víctima en el lado del servidor, combinando comprobaciones automatizadas del agente de usuario y la dirección IP con la validación manual de los operadores".

Gamaredon entrega Gammadrop y Gammaload en ataques a Ucrania

La revelación llega mientras el grupo de hackers Gamaredon, afiliado a Rusia, ha sido vinculado a una campaña de spear-phishing dirigida a instituciones estatales ucranianas desde septiembre de 2025, con el objetivo de entregar el malware descargador GammaDrop y GammaLoad a través de archivos RAR que explotan la vulnerabilidad CVE-2025-8088.

"Estos correos electrónicos, suplantados o enviados desde cuentas gubernamentales comprometidas, entregan descargadores de VBScript persistentes y de múltiples etapas que perfilan el sistema infectado", afirmó HarfangLab. "Hay poca novedad técnica aquí, pero Gamaredon nunca ha dependido de la sofisticación. La fuerza del grupo reside en su implacable ritmo y escala operativa".

Rusia atacada por BO Team y Hive0117

Los hallazgos también siguen un informe de Kaspersky que indica que el grupo hacktivista pro-Ucrania conocido como BO Team (también conocido como Black Owl) podría estar trabajando con Head Mare (también conocido como PhantomCore) en ataques dirigidos a organizaciones rusas, citando infraestructura y herramientas superpuestas. Los ataques orquestados por BO Team en 2026 han empleado spear-phishing para servir BrockenDoor y ZeronetKit, este último capaz de comprometer también sistemas Linux.

También se ha observado en estos ataques un backdoor basado en Go, previamente no documentado, llamado ZeroSSH, que puede ejecutar comandos arbitrarios usando "cmd.exe" y establecer un canal SSH inverso. Hasta 20 organizaciones han sido blanco de BO Team en el primer trimestre de 2026.

"La naturaleza de la interacción entre los grupos sigue sin estar clara, pero las intersecciones registradas de herramientas e infraestructura indican al menos la coordinación potencial de acciones contra organizaciones rusas", dijo Kaspersky.

En los últimos meses, empresas rusas también han sido blanco de un grupo motivado financieramente llamado Hive0117 para robar más de 14 millones de rublos entrando en computadoras de contadores mediante campañas de phishing y disfrazando las transferencias como pagos de salarios. Los correos de phishing fueron enviados a más de 3,000 organizaciones rusas entre febrero y marzo de 2026, según F6.

Además de Rusia, la actividad también ha afectado a usuarios de Lituania, Estonia, Bielorrusia y Kazajistán. Los ataques emplean señuelos temáticos de facturas para distribuir archivos RAR que contienen archivos maliciosos para instalar DarkWatchman, un troyano de acceso remoto atribuido al grupo.

"Utilizando el acceso remoto a los sistemas de banca en línea a través de computadoras de contadores comprometidas, iniciaron pagos para ser acreditados en cuentas bancarias enumeradas en el registro", dijo F6. "Anteriormente, esto parecía una transferencia de nómina, pero el registro enumeraba las cuentas bancarias de mulas. Si tales transacciones de pago no pasaban por los sistemas antifraude, los atacantes podían retirar cantidades significativas de las cuentas de las empresas".

Fuente:
THN