Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware PicassoLoader JavaScript-variant

PicassoLoader JavaScript-variant

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

De cyberdreigingsgroep Ghostwriter wordt in verband gebracht met een nieuwe golf cyberaanvallen op overheidsorganisaties in Oekraïne. De groep is minstens sinds 2016 actief en heeft een reputatie opgebouwd voor het uitvoeren van cyberespionage en beïnvloedingscampagnes in Oost-Europa, met een sterke operationele focus op Oekraïne en buurlanden.

De dader wordt ook gevolgd onder verschillende aliassen, waaronder FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 en White Lynx. In de loop der jaren heeft de groep haar infrastructuur, aanvalsketens en ontwijkingsmethoden voortdurend verfijnd in een poging om beveiligingsmaatregelen te omzeilen en haar operationele effectiviteit op lange termijn te behouden.

Een voortdurend evoluerend malware-arsenaal

Ghostwriter heeft zijn malware-ecosysteem en verspreidingsmethoden voortdurend gemoderniseerd. Eerdere campagnes maakten veelvuldig gebruik van de PicassoLoader-malwarefamilie, die fungeerde als een verspreidingsmechanisme voor aanvullende payloads zoals Cobalt Strike Beacon en njRAT.

Eind 2023 breidde de groep haar mogelijkheden uit door de WinRAR-kwetsbaarheid CVE-2023-38831 te misbruiken om PicassoLoader en Cobalt Strike te verspreiden. Het jaar daarop werden Poolse organisaties het doelwit van een phishingcampagne die misbruik maakte van een cross-site scripting-kwetsbaarheid in Roundcube, geïdentificeerd als CVE-2024-42009. Deze kwaadwillige activiteit stelde aanvallers in staat om JavaScript uit te voeren waarmee e-mailgegevens van slachtoffers konden worden verzameld.

Gecompromitteerde accounts werden later gebruikt om de inhoud van mailboxen te inspecteren, contactlijsten te stelen en in juni 2025 extra phishingberichten te verspreiden. Tegen het einde van 2025 had de groep ook geavanceerde anti-analysetechnieken in haar werkwijze geïntegreerd. Bepaalde lokdocumenten begonnen dynamische CAPTCHA-verificatie te gebruiken om de kwaadaardige infectieketen selectief te activeren en geautomatiseerde analyseomgevingen te dwarsbomen.

Geavanceerde spear-phishingcampagnes richten zich op Oekraïne.

Sinds maart 2026 hebben onderzoekers een nieuwe campagne waargenomen die gericht is op Oekraïense overheidsinstellingen via spear-phishing-e-mails met schadelijke PDF-bijlagen. De misleidende documenten doen zich voor als de Oekraïense telecomprovider Ukrtelecom in een poging om legitiem over te komen en de betrokkenheid van slachtoffers te vergroten.

De aanvalsketen maakt gebruik van ingebedde links in de PDF-bestanden die slachtoffers doorverwijzen naar een kwaadaardig RAR-archief met een JavaScript-gebaseerde payload. Na uitvoering toont de malware een nepdocument om de schijn van legitimiteit te bewaren, terwijl op de achtergrond stilletjes een JavaScript-variant van PicassoLoader wordt gestart. Deze loader installeert vervolgens Cobalt Strike Beacon op de geïnfecteerde systemen.

Geofencing en slachtoffervalidatie verbeteren de onzichtbaarheid.

Een van de meest opvallende aspecten van de nieuwste campagne is de implementatie van geofencing en gelaagde mechanismen voor slachtoffervalidatie. Systemen die verbinding maken vanaf IP-adressen buiten Oekraïne ontvangen onschadelijke PDF-inhoud in plaats van de schadelijke payload, waardoor de blootstelling aan onderzoekers en geautomatiseerde scansystemen aanzienlijk wordt verminderd.

De malware voert ook een uitgebreide analyse uit van de geïnfecteerde systemen voordat er extra payloads worden afgeleverd. De verzamelde systeeminformatie wordt elke tien minuten naar een door de aanvaller beheerde infrastructuur verzonden, waardoor beheerders handmatig kunnen bepalen of een slachtoffer verdere exploitatie verdient. Pas nadat dit validatieproces is voltooid, levert de infrastructuur een JavaScript-dropper in de derde fase die verantwoordelijk is voor de installatie van Cobalt Strike Beacon.

De operatie combineert geautomatiseerde filtermethoden, waaronder verificatie op basis van user-agent en IP-adres, met handmatige controle door een operator, wat wijst op een zeer gedisciplineerde en volwassen aanvalsmethodologie.

Regionale targetingstrategie wordt uitgebreid naar Oost-Europa.

De huidige activiteiten lijken zich voornamelijk te richten op militaire, defensie- en overheidsinstanties in Oekraïne. Operaties die aan Ghostwriter worden toegeschreven in Polen en Litouwen tonen echter een bredere doelwitstrategie aan die zich uitstrekt tot meerdere cruciale sectoren:

  • Industriële en productieorganisaties
  • Instellingen voor gezondheidszorg en farmacie
  • Logistieke dienstverleners
  • Overheidsinstanties

De voortdurende evolutie van Ghostwriter's tools, leveringsmechanismen en operationele beveiligingspraktijken onderstreept de volharding en het aanpassingsvermogen van de groep. Het vermogen om op maat gemaakte lokdocumenten, selectieve payloadlevering, anti-analysetechnieken en handmatige slachtoffervalidatie te combineren, demonstreert een geavanceerde cyberespionagecapaciteit die is ontworpen om detectie te ontwijken en tegelijkertijd de operationele impact te maximaliseren.

Trending

Meest bekeken

Bezig met laden...