Nhóm đe dọa liên kết với Belarus được biết đến với tên gọi Ghostwriter đã thực hiện một loạt các cuộc tấn công mới nhắm vào các tổ chức chính phủ tại Ukraine.
Hoạt động ít nhất từ năm 2016, Ghostwriter có liên quan đến cả các chiến dịch gián điệp mạng và gây ảnh hưởng nhắm vào các quốc gia láng giềng, đặc biệt là Ukraine. Nhóm này còn được theo dõi dưới các bí danh như FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison (trước đây là RepeatingUmbra), UNC1151 và White Lynx.
"FrostyNeighbor đã liên tục thực hiện các hoạt động mạng, thường xuyên thay đổi và cập nhật bộ công cụ, chuỗi xâm nhập và các phương pháp để trốn tránh sự phát hiện – nhắm vào các nạn nhân tại Đông Âu," ESET cho biết trong một báo cáo chia sẻ với The Hacker News.
Các cuộc tấn công trước đây của nhóm tin tặc này đã sử dụng họ mã độc PicassoLoader, đóng vai trò là công cụ dẫn đường cho Cobalt Strike Beacon và njRAT. Vào cuối năm 2023, tác nhân đe dọa này cũng được quan sát thấy đã khai thác lỗ hổng trong WinRAR (CVE-2023-38831, điểm CVSS: 7.8) để triển khai PicassoLoader và Cobalt Strike.
Gần đây nhất là vào năm ngoái, các tổ chức tại Ba Lan đã trở thành mục tiêu của một chiến dịch phishing do Ghostwriter tổ chức, khai thác một lỗi cross-site trong Roundcube (CVE-2024-42009, điểm CVSS: 9.3) để thực thi JavaScript độc hại nhằm đánh cắp thông tin đăng nhập email.
Trong một số trường hợp, các tin tặc được cho là đã sử dụng thông tin đăng nhập thu thập được để phân tích nội dung hộp thư, tải xuống danh bạ và lạm dụng tài khoản bị xâm nhập để phát tán thêm các tin nhắn phishing, theo báo cáo từ CERT Polska vào tháng 6 năm 2025. Đến cuối năm 2025, nhóm này cũng bắt đầu tích hợp kỹ thuật chống phân tích, trong đó các tài liệu dụ dỗ dựa vào các đợt kiểm tra CAPTCHA động để kích hoạt chuỗi tấn công.
"FrostyNeighbor vẫn là một tác nhân đe dọa kiên trì và linh hoạt, thể hiện mức độ trưởng thành cao trong vận hành với việc sử dụng các tài liệu dụ dỗ đa dạng, các biến thể trình tải xuống và phương thức phân phối mới," nhà nghiên cứu Damien Schaeffer của ESET cho biết. "Chuỗi xâm nhập mới nhất mà chúng tôi phát hiện là sự tiếp nối ý chí của nhóm trong việc cập nhật và đổi mới kho vũ khí, cố gắng trốn tránh sự phát hiện để xâm nhập mục tiêu."
Loạt hoạt động mới nhất, được quan sát từ tháng 3 năm 2026, liên quan đến việc sử dụng các liên kết trong các tệp PDF độc hại được gửi qua tệp đính kèm spear-phishing nhắm vào các thực thể chính phủ ở Ukraine, cuối cùng dẫn đến việc triển khai phiên bản JavaScript của PicassoLoader để cài đặt Cobalt Strike. Các tài liệu PDF giả mạo đã được tìm thấy là mạo danh công ty viễn thông Ukraine Ukrtelecom.
Trình tự lây nhiễm kết hợp kiểm tra geofencing (giới hạn địa lý), chỉ cung cấp tệp PDF vô hại cho những nạn nhân có địa chỉ IP không thuộc Ukraine. Liên kết nhúng trong tài liệu PDF được sử dụng để tải về một kho lưu trữ RAR chứa mã JavaScript hiển thị tài liệu giả mạo để duy trì sự lừa dối, đồng thời khởi chạy PicassoLoader trong nền.
Trình tải xuống cũng được thiết kế để thu thập thông tin và nhận dạng (fingerprint) máy chủ bị xâm nhập, dựa vào đó các quản trị viên có thể quyết định thủ công việc gửi trình thả (dropper) JavaScript giai đoạn ba cho Cobalt Strike Beacon. Fingerprint hệ thống được truyền đến hạ tầng do kẻ tấn công kiểm soát sau mỗi 10 phút, cho phép tác nhân đe dọa đánh giá liệu nạn nhân có đáng quan tâm hay không.
Hoạt động này chủ yếu tập trung vào các tổ chức quân sự, quốc phòng và chính phủ ở Ukraine, trong khi danh sách nạn nhân tại Ba Lan và Lithuania rộng hơn nhiều, nhắm vào các lĩnh vực công nghiệp, sản xuất, y tế, dược phẩm, logistics và chính phủ.
Gamaredon triển khai GammaDrop và GammaLoad trong các cuộc tấn công tại Ukraine
Tiết lộ này được đưa ra khi nhóm tin tặc Gamaredon có liên kết với Nga bị gắn với một chiến dịch spear-phishing nhắm vào các tổ chức nhà nước Ukraine từ tháng 9 năm 2025, với mục đích triển khai mã độc tải xuống GammaDrop và GammaLoad thông qua các kho lưu trữ RAR khai thác lỗ hổng CVE-2025-808.
"Những email này – bị giả mạo hoặc gửi từ các tài khoản chính phủ bị xâm nhập – phân phối các trình tải xuống VBScript đa giai đoạn kiên trì để thu thập thông tin hệ thống bị nhiễm," HarfangLab cho biết. "Có rất ít sự mới mẻ về kỹ thuật ở đây, nhưng Gamaredon chưa bao giờ dựa vào sự tinh vi. Sức mạnh của nhóm nằm ở nhịp độ và quy mô vận hành không ngừng nghỉ."
Nga bị BO Team và Hive0117 nhắm mục tiêu
Các phát hiện cũng đi kèm một báo cáo từ Kaspersky rằng nhóm hacktivist ủng hộ Ukraine được gọi là BO Team (hay Black Owl) có thể đang hợp tác với Head Mare (hay PhantomCore) trong các cuộc tấn công nhắm vào các tổ chức Nga, dựa trên sự trùng lặp về hạ tầng và công cụ. Các cuộc tấn công do BO Team thực hiện vào năm 2026 đã sử dụng spear-phishing để phân phối BrockenDoor và ZeronetKit, trong đó ZeronetKit cũng có khả năng xâm nhập các hệ thống Linux.
Cũng được quan sát thấy trong các cuộc tấn công này là một backdoor dựa trên Go chưa từng được ghi nhận trước đây có tên là ZeroSSH, có thể thực thi các lệnh tùy ý bằng "cmd.exe" và thiết lập kênh SSH ngược (reverse SSH channel). Có tới 20 tổ chức đã bị BO Team nhắm mục tiêu trong quý đầu tiên của năm 2026.
Trong những tháng gần đây, các doanh nghiệp Nga cũng bị nhắm mục tiêu bởi một nhóm có động cơ tài chính tên là Hive0117 để đánh cắp hơn 14 triệu rúp bằng cách xâm nhập vào máy tính của kế toán thông qua các chiến dịch phishing và ngụy trang các khoản chuyển tiền dưới dạng thanh toán lương. Các email phishing đã được gửi đến hơn 3.000 tổ chức Nga trong khoảng từ tháng 2 đến tháng 3 năm 2026.
Ngoài Nga, hoạt động này cũng nhắm vào người dùng từ Lithuania, Estonia, Belarus và Kazakhstan. Các cuộc tấn công sử dụng mồi nhử chủ đề hóa đơn để phân phối các kho lưu trữ RAR chứa các tệp độc hại nhằm cài đặt DarkWatchman, một trojan truy cập từ xa (RAT) được cho là của nhóm này.
