Amenaza de Ghostwriter a Ucrania: Phishing y Cobalt Strike en acción
Publicado el
Introducción
El grupo de amenazas conocido como Ghostwriter, alineado con Bielorrusia, ha sido señalado como responsable de una serie de ataques recientes contra organizaciones gubernamentales en Ucrania. Activo desde al menos 2016, este grupo ha llevado a cabo operaciones de ciberespionaje e influencias, especialmente en países vecinos como Ucrania.
Técnicas Utilizadas
Ghostwriter, también identificado con nombres como FrostyNeighbor y TA445, ha demostrado una capacidad notable para evolucionar sus herramientas y métodos de ataque. Según un informe de ESET, el grupo ha estado realizando operaciones cibernéticas continuas, actualizando constantemente su arsenal para eludir la detección y apuntar a víctimas en Europa del Este.
Las campañas anteriores han utilizado una familia de malware conocida como PicassoLoader, que actúa como un conducto para Cobalt Strike Beacon y njRAT. En 2023, se observó que Ghostwriter explotaba una vulnerabilidad en WinRAR (CVE-2023-38831) para distribuir PicassoLoader y Cobalt Strike.
Campañas de Phishing
A finales de 2025, el grupo comenzó a implementar una técnica de anti-análisis mediante documentos de atracción que utilizaban verificaciones dinámicas de CAPTCHA. Recientemente, desde marzo de 2026, sus ataques han incluido el envío de PDFs maliciosos a entidades gubernamentales ucranianas. Estos documentos, que suplantan a la empresa de telecomunicaciones ucraniana Ukrtelecom, utilizan un método de geofencing. Esto significa que los archivos PDF benignos se envían a usuarios fuera de Ucrania, mientras que los que se encuentran dentro del país reciben el contenido malicioso.
Los enlaces incrustados en estos PDF dirigen a los usuarios a un archivo RAR que contiene un payload en JavaScript, que muestra un documento atractivo mientras lanza PicassoLoader en segundo plano. Este downloader está diseñado para perfilar y obtener información del sistema comprometido, enviando datos a la infraestructura controlada por los atacantes cada 10 minutos, lo que les permite decidir si la víctima es de interés.
Objetivos de los Ataques
La actividad de Ghostwriter se centra principalmente en organizaciones militares, del sector defensa y gubernamentales en Ucrania, aunque su alcance en Polonia y Lituania abarca sectores industriales y de salud, así como empresas farmacéuticas y logísticas.
ESET destaca que Ghostwriter demuestra un alto nivel de madurez operativa, utilizando documentos de atracción diversos y métodos de entrega innovadores. La entrega del payload solo se realiza tras una validación del servidor, combinando comprobaciones automáticas del agente de usuario y la dirección IP del solicitante con la validación manual por parte de los operadores.
Conclusión
Ghostwriter sigue siendo una amenaza persistente y adaptable en el ámbito del ciberespionaje, mostrando su capacidad para innovar en sus métodos y perpetuar ataques eficaces. La vigilancia continua y la implementación de medidas de seguridad robustas son esenciales para mitigar el impacto de este grupo en Ucrania y sus alrededores.