El grupo de amenaza alineado con Bielorrusia conocido como Escritor fantasma se ha atribuido a una nueva serie de ataques contra organizaciones gubernamentales en Ucrania.
Activo desde al menos 2016, Ghostwriter ha estado vinculado tanto al ciberespionaje como a operaciones de influencia dirigidas a países vecinos, particularmente Ucrania. También se le rastrea bajo los apodos FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC‑0057, Umbral Bison (anteriormente RepeatingUmbra), UNC1151 y White Lynx.
«FrostyNeighbor ha estado ejecutando operaciones cibernéticas continuas, cambiando y actualizando su conjunto de herramientas periódicamente, actualizando su cadena de compromiso y sus métodos para evadir la detección, apuntando a víctimas ubicadas en Europa del Este», dijo ESET en un informe compartido con The Hacker News.
Los ataques anteriores realizados por el equipo de hackers aprovecharon una familia de malware conocida como PicassoLoader, que luego actúa como conducto para Cobalt Strike Beacon y njRAT. A finales de 2023, también se observó que el actor de amenazas utilizaba una vulnerabilidad en WinRAR (CVE-2023-38831, puntuación CVSS: 7,8) para implementar PicassoLoader y Cobalt Strike.
Tan recientemente como el año pasado, entidades polacas fueron objeto de una campaña de phishing orquestada por Ghostwriter que aprovechó una falla entre sitios en Roundcube (CVE-2024-42009, puntuación CVSS: 9.3) para ejecutar JavaScript malicioso responsable de capturar las credenciales de inicio de sesión de correo electrónico.
Al menos en algunos casos, se dice que los actores de amenazas aprovecharon las credenciales recopiladas para analizar el contenido del buzón, descargar la lista de contactos y abusar de la cuenta comprometida para propagar más mensajes de phishing, según un informe de CERT Polska de junio de 2025. Hacia finales de 2025, el grupo también comenzó a incorporar una técnica antianálisis en la que los documentos señuelo se basaban en comprobaciones dinámicas de CAPTCHA para desencadenar la cadena de ataque.
«FrostyNeighbor sigue siendo un actor de amenazas persistente y adaptable, demostrando un alto nivel de madurez operativa con el uso de diversos documentos de señuelo, variantes de descarga y señuelos en evolución, y nuevos mecanismos de entrega», dijo el investigador de ESET Damien Schaeffer. «Esta nueva cadena de compromiso que detectamos es una continuación de la voluntad del grupo de actualizar y renovar su arsenal, tratando de evadir la detección para comprometer sus objetivos».
El último conjunto de actividades, observado desde marzo de 2026, implica el uso de enlaces en archivos PDF maliciosos enviados mediante archivos adjuntos de phishing dirigidos a entidades gubernamentales en Ucrania, lo que en última instancia resultó en la implementación de una versión JavaScript de PicassoLoader para eliminar Cobalt Strike. Se ha descubierto que los documentos señuelo en formato PDF se hacen pasar por la empresa de telecomunicaciones ucraniana Ukrtelecom.
La secuencia de infección incorpora una verificación de geocercado, entregando un archivo PDF benigno a las víctimas cuya dirección IP no corresponde a Ucrania. El enlace incrustado en el documento PDF se utiliza para entregar un archivo RAR que contiene una carga útil de JavaScript que muestra un documento señuelo para mantener la artimaña, mientras se inicia simultáneamente PicassoLoader en segundo plano.
El descargador también está diseñado para perfilar y tomar huellas digitales del host comprometido, en función de lo cual los operadores pueden decidir manualmente enviar un cuentagotas de JavaScript de tercera etapa para Cobalt Strike Beacon. La huella digital del sistema se transmite a la infraestructura controlada por el atacante cada 10 minutos, lo que permite al actor de la amenaza evaluar si la víctima es de interés.
La actividad parece centrarse principalmente en organizaciones militares, del sector de defensa y gubernamentales en Ucrania, mientras que la victimología en Polonia y Lituania es mucho más amplia y apunta a los sectores industrial y manufacturero, sanitario y farmacéutico, logístico y gubernamental.
«FrostyNeighbor sigue siendo un actor de amenazas persistente y adaptable, demostrando un alto nivel de madurez operativa con el uso de diversos documentos de señuelo, variantes de señuelo y descarga en evolución, y nuevos mecanismos de entrega», dijo ESET. «La carga útil sólo se entrega después de la validación de la víctima del lado del servidor, combinando comprobaciones automáticas del agente de usuario solicitante y la dirección IP con la validación manual por parte de los operadores».
Gamaredon ofrece GammaDrop y GammaLoad en los ataques de Ucrania
La divulgación se produce cuando el grupo de piratería Gamaredon, afiliado a Rusia, ha estado vinculado a una campaña de phishing dirigida a instituciones estatales ucranianas desde septiembre de 2025, con el objetivo de entregar malware de descarga GammaDrop y GammaLoad a través de archivos RAR que explotan CVE-2025-8088.
«Estos correos electrónicos, falsificados o enviados desde cuentas gubernamentales comprometidas, entregan descargadores de VBScript persistentes y de múltiples etapas que perfilan el sistema infectado», dijo HarfangLab. «Aquí hay poca novedad técnica, pero Gamaredon nunca se ha basado en la sofisticación. La fuerza del grupo reside en su implacable ritmo y escala operativa».
Rusia es el objetivo del equipo BO y Hive0117
Los hallazgos también siguen a un informe de Kaspersky de que el grupo hacktivista pro Ucrania conocido como BO Team (también conocido como Black Owl) puede estar trabajando con Head Mare (también conocido como PhantomCore) en ataques dirigidos a organizaciones rusas, citando infraestructura y herramientas superpuestas. Los ataques orquestados por el equipo BO en 2026 han empleado phishing dirigido a BrockenDoor y ZeronetKit, el último de los cuales también es capaz de comprometer los sistemas Linux.
También se observa en estos ataques una puerta trasera basada en Go no documentada anteriormente denominada ZeroSSH que puede ejecutar comandos arbitrarios usando «cmd.exe» y establecer un canal SSH inverso. El equipo BO se ha dirigido a unas 20 organizaciones en el primer trimestre de 2026.
«La naturaleza de la interacción entre los grupos sigue sin estar clara, pero las intersecciones registradas de herramientas e infraestructura indican al menos la posible coordinación de acciones contra organizaciones rusas», dijo Kaspersky.
En los últimos meses, las empresas rusas también han sido blanco de un grupo motivado financieramente llamado Hive0117 para robar más de 14 millones de rublos irrumpiendo en las computadoras de los contables a través de campañas de phishing y disfrazando transferencias como pagos de salario. Los correos electrónicos de phishing se enviaron a más de 3000 organizaciones rusas entre febrero y marzo de 2026, según F6.
Además de Rusia, la actividad también se dirigió a usuarios de Lituania, Estonia, Bielorrusia y Kazajstán. Los ataques emplean señuelos con temas de facturas para distribuir archivos RAR que contienen archivos maliciosos para eliminar DarkWatchman, un troyano de acceso remoto atribuido al grupo.
«Utilizando el acceso remoto a los sistemas bancarios en línea a través de las computadoras de los contables comprometidos, iniciaron pagos que se acreditarían en las cuentas bancarias que figuran en el registro», dijo F6. «Antes esto parecía una transferencia de nómina, pero en el registro figuraban las cuentas bancarias de las mulas. Si estas transacciones de pago no pasaban por sistemas antifraude, los atacantes podían retirar cantidades importantes de las cuentas de las empresas».