Угруповання Ghostwriter, яке пов’язують із Білоруссю, розгорнуло нову кампанію кібершпигунства проти українських урядових і військових структур. Разом із цим під атаки також потрапили білоруські опозиційні активісти.
Пов’язане з Білоруссю хакерське угруповання Ghostwriter розгорнуло нову хвилю кібератак проти українських державних організацій. У кампанії використовують шкідливі PDF-файли, фішингові вкладення та оновлені версії PicassoLoader для доставки Cobalt Strike.
За даними ESET, група, яку також відстежують під назвами FrostyNeighbor, UNC1151, UAC-0057 та White Lynx, залишається активною щонайменше з 2016 року. Основними цілями залишаються країни Східної Європи, а сама діяльність поєднує кібершпигунство з інформаційними операціями.
«FrostyNeighbor постійно проводить кібероперації, регулярно змінюючи та оновлюючи свій набір інструментів, оновлюючи ланцюжок компрометації та методи уникнення виявлення, орієнтуючись на жертв, розташованих у Східній Європі», – зазначили дослідники ESET.
Раніше Ghostwriter уже використовував шкідливе ПЗ PicassoLoader для розгортання Cobalt Strike Beacon і njRAT. Наприкінці 2023 року хакери також експлуатували критичну вразливість WinRAR CVE-2023-38831 для доставки своїх інструментів.
У 2024 році під атаки потрапили польські організації. Тоді зловмисники використали XSS-вразливість у Roundcube CVE-2024-42009, щоб запускати шкідливий JavaScript і викрадати облікові дані електронної пошти. CERT Polska пізніше повідомив, що доступ до поштових скриньок використовувався не лише для збору інформації, а й для розсилки нових фішингових листів від імені скомпрометованих користувачів.
Наприкінці 2025 року угруповання додало ще один механізм обходу аналізу. Документи-приманки почали використовувати динамічні CAPTCHA-перевірки перед запуском шкідливого ланцюжка.
Нова хвиля атак, яку фіксують із березня 2026 року, орієнтована насамперед на українські державні структури. Зловмисники надсилають PDF-документи зі шкідливими посиланнями, які маскуються під файли від «Укртелекому».
Після відкриття документа жертва отримує посилання на RAR-архів із JavaScript-файлом. Він демонструє фальшивий документ для підтримки легенди, а паралельно запускає PicassoLoader у фоновому режимі.
Окремо дослідники звернули увагу на систему геофільтрації. Якщо IP-адреса користувача не належить Україні, замість шкідливого контенту відкривається безпечний PDF-файл. Сам PicassoLoader також збирає інформацію про систему та регулярно передає її на сервери зловмисників кожні десять хвилин. Після цього оператори вручну вирішують, чи варто доставляти наступний етап атаки з Cobalt Strike Beacon.
В Україні основними цілями залишаються військові, оборонні та урядові організації. У Польщі та Литві список жертв ширший і охоплює промисловість, медицину, фармацевтику, логістику та державний сектор.
«Цей найновіший ланцюг компрометації є продовженням готовності групи оновлювати та поновлювати свій арсенал, намагаючись уникнути виявлення, щоб компрометувати свої цілі», – заявив дослідник ESET Демієн Шеффер.
На тлі цієї активності фахівці також повідомили про нові атаки російської групи Gamaredon. Із вересня 2025 року вона використовує фішингові RAR-архіви та експлойт CVE-2025-8088 для поширення завантажувачів GammaDrop і GammaLoad серед українських держустанов.
За словами HarfangLab, хакери надсилають листи зі скомпрометованих або підроблених державних акаунтів. Усередині містяться багатоступеневі VBScript-завантажувачі, які профілюють заражену систему.
Паралельно Kaspersky повідомив про можливу співпрацю проукраїнської групи BO Team із хакерами Head Mare у кампаніях проти російських організацій. Дослідники помітили перетин інфраструктури та інструментів, зокрема BrockenDoor, ZeronetKit і новий бекдор ZeroSSH на базі Go, здатний виконувати команди через cmd.exe та створювати SSH-тунелі.
Лише у першому кварталі 2026 року BO Team атакувала близько двадцяти російських організацій.
Окремо експерти F6 повідомили про діяльність фінансово мотивованої групи Hive0117, яка атакувала понад 3000 компаній у росії, а також користувачів у Литві, Естонії, Білорусі та Казахстані. Хакери використовували фішингові листи з темами рахунків-фактур для доставки DarkWatchman.
Отримавши доступ до комп’ютерів бухгалтерів, зловмисники ініціювали фальшиві платіжні операції, маскуючи їх під виплати зарплат на рахунки «мулів». За оцінками дослідників, таким способом було викрадено понад 14 мільйонів рублів.
