Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Variant de JavaScript de PicassoLoader

Variant de JavaScript de PicassoLoader

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

El grup d'amenaces conegut com a Ghostwriter ha estat vinculat a una nova onada de ciberatacs dirigits a organitzacions governamentals a Ucraïna. Actiu des d'almenys el 2016, el grup s'ha forjat una reputació per dur a terme campanyes d'espionatge cibernètic i d'influència a tot l'Europa de l'Est, amb un fort enfocament operatiu a Ucraïna i els estats veïns.

L'actor de l'amenaça també es rastreja sota diversos àlies, com ara FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 i White Lynx. Al llarg dels anys, el grup ha perfeccionat contínuament la seva infraestructura, cadenes d'atac i mètodes d'evasió en un esforç per eludir els controls de seguretat i mantenir l'eficàcia operativa a llarg termini.

Arsenal de programari maliciós en constant evolució

Ghostwriter ha modernitzat constantment el seu ecosistema de programari maliciós i les seves tècniques de distribució. Les campanyes anteriors es basaven en gran mesura en la família de programari maliciós PicassoLoader, que funcionava com a mecanisme de distribució per a càrregues útils addicionals com ara Cobalt Strike Beacon i njRAT.

A finals del 2023, el grup va ampliar les seves capacitats explotant la vulnerabilitat de WinRAR CVE-2023-38831 per distribuir PicassoLoader i Cobalt Strike. L'any següent, les organitzacions poloneses es van convertir en objectiu d'una campanya de phishing que va abusar d'una fallada de script entre llocs a Roundcube identificada com a CVE-2024-42009. L'activitat maliciosa va permetre als atacants executar JavaScript capaç de recopilar credencials de correu electrònic de les víctimes.

Els comptes compromesos es van utilitzar posteriorment per inspeccionar el contingut de les bústies de correu, robar llistes de contactes i distribuir missatges de phishing addicionals durant el juny de 2025. A finals de 2025, el grup també havia integrat tècniques avançades d'antianàlisi a les seves operacions. Alguns documents d'esquer van començar a utilitzar la verificació dinàmica de CAPTCHA per activar selectivament la cadena d'infecció maliciosa i frustrar els entorns d'anàlisi automatitzats.

Campanyes sofisticades de spear-phishing tenen com a objectiu Ucraïna

Des del març del 2026, els investigadors han observat una nova campanya dirigida a institucions governamentals ucraïneses a través de correus electrònics de spear-phishing que contenen fitxers adjunts en PDF maliciosos. Els documents esquer suplanten la identitat del proveïdor de telecomunicacions ucraïnès Ukrtelecom en un esforç per semblar legítim i augmentar la participació de les víctimes.

La cadena d'atac es basa en enllaços incrustats dins dels fitxers PDF que redirigeixen les víctimes a un arxiu RAR maliciós que conté una càrrega útil basada en JavaScript. Un cop executat, el programari maliciós mostra un document esquer per preservar la il·lusió de legitimitat mentre inicia silenciosament una variant JavaScript de PicassoLoader en segon pla. El carregador posteriorment implementa Cobalt Strike Beacon en sistemes compromesos.

La geovalla i la validació de víctimes milloren la discreció

Un dels aspectes més destacables de la darrera campanya és la implementació de geofencing i mecanismes de validació de víctimes per capes. Els sistemes que es connecten des d'adreces IP fora d'Ucraïna reben contingut PDF inofensiu en lloc de la càrrega útil maliciosa, cosa que redueix significativament l'exposició dels investigadors i els sistemes d'escaneig automatitzats.

El programari maliciós també realitza una empremta digital exhaustiva dels hosts compromesos abans de lliurar càrregues útils addicionals. La informació del sistema recollida es transmet a la infraestructura controlada per l'atacant cada deu minuts, cosa que permet als operadors determinar manualment si una víctima justifica una major explotació. Només després que aquest procés de validació s'hagi completat, la infraestructura lliura un dropper de JavaScript de tercera etapa responsable d'instal·lar Cobalt Strike Beacon.

L'operació combina mètodes de filtratge automatitzats, incloent-hi la verificació d'agent d'usuari i basada en IP, amb la revisió manual de l'operador, destacant una metodologia d'atac altament disciplinada i madura.

L’estratègia de segmentació regional s’expandeix per tota l’Europa de l’Est

L'activitat actual sembla centrar-se principalment en entitats militars, de defensa i governamentals a Ucraïna. Tanmateix, les operacions atribuïdes a Ghostwriter a Polònia i Lituània demostren una estratègia de focalització més àmplia que s'estén a múltiples sectors crítics:

  • Organitzacions industrials i de fabricació
  • Institucions sanitàries i farmacèutiques
  • proveïdors de logística
  • organismes governamentals

L'evolució contínua de les eines, els mecanismes de lliurament i les pràctiques de seguretat operativa de Ghostwriter subratlla la persistència i l'adaptabilitat del grup. La seva capacitat per combinar documents d'esquer personalitzats, lliurament selectiu de càrrega útil, tècniques antianàlisi i validació manual de víctimes demostra una sofisticada capacitat de ciberespionatge dissenyada per evadir la detecció i maximitzar l'impacte operatiu.

Tendència

Estafa per correu electrònic d'alerta de lliurament...

Phishing, Correu brossa
Els correus electrònics inesperats sempre s'han de tractar amb precaució, sobretot quan creen una sensació d'urgència o sol·liciten informació confidencial. Els ciberdelinqüents sovint disfressen els missatges de phishing com a notificacions legítimes de proveïdors de serveis de confiança en un intent d'enganyar els destinataris perquè revelin dades personals. Els correus electrònics anomenats...

Més vist

Carregant...