Underc0de - La Casa de los Informáticos

El grupo de amenazas alineado con Bielorrusia conocido como Ghostwriter ha sido vinculado a una nueva ola de ataques dirigidos contra organizaciones gubernamentales y entidades estratégicas en Ucrania. Investigadores de ESET revelaron que el actor continúa evolucionando sus herramientas, mecanismos de entrega y técnicas de evasión para mantener operaciones activas de ciberespionaje en Europa del Este.

La campaña más reciente, detectada desde marzo de 2026, demuestra un nivel avanzado de madurez operativa y confirma que Ghostwriter sigue siendo uno de los actores más persistentes dentro del panorama de amenazas vinculadas al conflicto geopolítico en la región.

El grupo, también rastreado bajo nombres como FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, White Lynx y UNC1151, ha estado activo desde al menos 2016 realizando operaciones tanto de ciberespionaje como de influencia política dirigidas principalmente contra Ucrania, Polonia, Lituania y otros países vecinos.

Ghostwriter utiliza PDFs maliciosos y spear-phishing para atacar Ucrania

Según el informe de ESET, la nueva cadena de infección comienza mediante campañas de spear-phishing que distribuyen archivos PDF maliciosos haciéndose pasar por documentos legítimos relacionados con la empresa de telecomunicaciones ucraniana Ukrtelecom.

Los atacantes utilizan enlaces incrustados dentro de los PDFs para descargar archivos RAR que contienen cargas maliciosas en JavaScript. Una vez ejecutados, los archivos despliegan una versión actualizada del malware PicassoLoader mientras muestran simultáneamente documentos señuelo para evitar sospechas.

El objetivo principal de esta operación es desplegar:

• PicassoLoader
• Cobalt Strike Beacon
• Herramientas de reconocimiento y persistencia
• PicassoLoader sigue siendo pieza clave en las operaciones de Ghostwriter

Ghostwriter ha utilizado históricamente la familia de malware PicassoLoader como componente principal de sus campañas. Este malware funciona como descargador inicial y puerta de entrada para herramientas adicionales de post-explotación.

En ataques previos, el grupo utilizó PicassoLoader para desplegar:

• Cobalt Strike Beacon
• njRAT
• Herramientas de acceso remoto
• Payloads personalizados

A finales de 2023, el grupo también aprovechó la vulnerabilidad:

• CVE-2023-38831

La falla en WinRAR permitió distribuir cargas maliciosas ocultas dentro de archivos comprimidos aparentemente legítimos.

Geofencing y validación manual para evadir detección

Uno de los aspectos más sofisticados de la campaña actual es el uso de técnicas de geocerca o geofencing.

Los investigadores descubrieron que el malware verifica la dirección IP de la víctima antes de continuar con la infección. Si la IP no pertenece a Ucrania, el sistema entrega únicamente un PDF benigno sin contenido malicioso.

Este mecanismo permite a los atacantes:

• Reducir exposición pública
• Evitar análisis automatizados
• Dificultar investigación forense
• Limitar infecciones fuera del objetivo

Además, los operadores implementaron validación manual del lado del servidor para decidir qué víctimas recibirán la carga útil final.

Cobalt Strike solo se despliega tras validar a la víctima

La cadena de ataque incorpora una fase avanzada de reconocimiento donde PicassoLoader recopila información detallada del sistema comprometido.

Entre los datos recolectados destacan:

• Dirección IP
• Configuración del sistema
• Datos del host
• Información del entorno
• Características del dispositivo

La información es enviada a infraestructura controlada por los atacantes cada 10 minutos.

Con base en esta telemetría, los operadores deciden manualmente si la víctima resulta lo suficientemente interesante para desplegar una tercera etapa maliciosa que incluye:

• JavaScript Dropper
• Cobalt Strike Beacon
• Herramientas de persistencia avanzada

Este enfoque demuestra un alto nivel de precisión operacional y reduce significativamente la exposición del malware ante sistemas de seguridad automatizados.

Ucrania sigue siendo el principal objetivo

La campaña se centra especialmente en:

• Organizaciones gubernamentales
• Sector militar
• Industria de defensa
• Infraestructura estatal ucraniana

Sin embargo, ESET indicó que la actividad del grupo en otros países presenta una superficie de ataque más amplia.

En Polonia y Lituania, las víctimas incluyen:

• Empresas industriales
• Sector manufacturero
• Organizaciones sanitarias
• Industria farmacéutica
• Empresas logísticas
• Instituciones gubernamentales

Esto evidencia que Ghostwriter no limita sus operaciones exclusivamente al ámbito militar, sino que también busca inteligencia estratégica y acceso a sectores críticos.

Ghostwriter evoluciona constantemente sus tácticas

Los investigadores destacan que el grupo continúa renovando regularmente su arsenal ofensivo.

Entre las técnicas observadas recientemente se encuentran:

• Señuelos dinámicos con CAPTCHA
• Descargadores evolutivos
• Nuevos mecanismos de entrega
• Técnicas anti-análisis
• Infraestructura rotativa
• Validación geográfica avanzada

Según Damien Schaeffer, Ghostwriter demuestra un alto grado de madurez operativa y adaptabilidad constante frente a las defensas modernas.

Gamaredon también intensifica ataques contra Ucrania

Paralelamente, el grupo ruso Gamaredon ha sido vinculado a campañas activas de spear-phishing dirigidas a instituciones estatales ucranianas desde septiembre de 2025.

Investigadores de HarfangLab detectaron que el grupo utiliza archivos RAR maliciosos para distribuir:

• GammaDrop
• GammaLoad
• Descargadores VBScript persistentes

Las campañas explotan la vulnerabilidad:

• CVE-2025-8088

A diferencia de otros grupos más sofisticados técnicamente, Gamaredon se caracteriza por operar a gran escala y mantener campañas constantes de alta intensidad.

Hacktivistas pro-ucranianos atacan organizaciones rusas

El conflicto cibernético también incluye operaciones ofensivas contra Rusia.

Kaspersky informó que el grupo hacktivista pro-ucraniano BO Team, también conocido como Black Owl, podría estar colaborando con PhantomCore o Head Mare para atacar organizaciones rusas.

Las campañas utilizan spear-phishing para desplegar:

• BrockenDoor
• ZeronetKit
• ZeroSSH

ZeroSSH destaca por ser una nueva puerta trasera desarrollada en Go capaz de:

• Ejecutar comandos arbitrarios
• Crear canales SSH inversos
• Comprometer sistemas Linux y Windows

Durante el primer trimestre de 2026, al menos 20 organizaciones rusas fueron atacadas mediante estas herramientas.

Hive0117 roba millones mediante phishing financiero

Además del espionaje geopolítico, grupos motivados financieramente también están aprovechando el contexto regional.

La empresa F6 reveló que el grupo Hive0117 robó más de 14 millones de rublos mediante campañas de phishing dirigidas a departamentos contables rusos.

Los atacantes utilizaron correos temáticos de facturas para distribuir el malware:

• DarkWatchman

El objetivo era acceder a sistemas de banca online y disfrazar transferencias fraudulentas como pagos salariales legítimos.

La guerra cibernética en Europa del Este continúa escalando

La actividad simultánea de grupos como Ghostwriter, Gamaredon y BO Team confirma que el ciberespacio sigue siendo un frente activo dentro del conflicto geopolítico en Europa del Este.

Los ataques actuales muestran una combinación cada vez más sofisticada de:

• Espionaje estatal
• Operaciones de influencia
• Phishing avanzado
• Malware modular
• Automatización ofensiva
• Validación selectiva de víctimas

Los expertos advierten que las organizaciones gubernamentales y sectores críticos deben reforzar urgentemente sus capacidades defensivas, especialmente frente a campañas de spear-phishing altamente dirigidas y malware capaz de evadir mecanismos tradicionales de detección.

Fuente: https://thehackernews.com/