PicassoLoader JavaScript 变体

名为“幽灵作家”（Ghostwriter）的威胁组织与近期针对乌克兰政府机构的新一轮网络攻击有关。该组织至少从2016年起就十分活跃，以在东欧地区开展网络间谍活动和影响力行动而闻名，其行动重点主要集中在乌克兰及其邻国。

该威胁行为者还使用多个别名进行追踪，包括 FrostyNeighbor、PUSHCHA、Storm-0257、TA445、UAC-0057、Umbral Bison、UNC1151 和 White Lynx。多年来，该组织不断改进其基础设施、攻击链和规避方法，以绕过安全控制并保持长期的行动效率。

不断演变的恶意软件库

Ghostwriter 不断对其恶意软件生态系统和传播技术进行现代化改造。早期的攻击活动严重依赖 PicassoLoader 恶意软件家族，该家族作为传播机制，用于传播 Cobalt Strike Beacon 和 njRAT 等其他有效载荷。

2023 年末，该组织利用 WinRAR 漏洞 CVE-2023-38831 传播 PicassoLoader 和 Cobalt Strike，从而扩展了其攻击能力。次年，波兰多家机构成为网络钓鱼攻击的目标，该攻击利用了 Roundcube 中的一个跨站脚本漏洞 CVE-2024-42009。恶意活动使攻击者能够执行 JavaScript 代码，从而窃取受害者的电子邮件凭据。

2025年6月，被盗账户被用于检查邮箱内容、窃取联系人列表并散布更多钓鱼邮件。到2025年底，该团伙已将先进的反分析技术融入其行动中。某些诱饵文档开始使用动态验证码（CAPTCHA）来选择性地激活恶意感染链，从而干扰自动化分析环境。

针对乌克兰的精心策划的网络钓鱼攻击

自2026年3月以来，研究人员发现一种针对乌克兰政府机构的新攻击活动，该活动通过带有恶意PDF附件的鱼叉式网络钓鱼邮件进行。这些诱饵文件冒充乌克兰电信运营商Ukrtelecom，试图伪装成合法机构并提高受害者的参与度。

该攻击链依赖于嵌入在 PDF 文件中的链接，这些链接会将受害者重定向到一个包含基于 JavaScript 的有效载荷的恶意 RAR 压缩包。一旦执行，该恶意软件会显示一个诱饵文档以维持合法性的假象，同时在后台静默启动 PicassoLoader 的 JavaScript 版本。该加载器随后会在受感染的系统上部署 Cobalt Strike Beacon。

地理围栏和受害者验证增强隐蔽性

最新攻击活动最显著的特点之一是采用了地理围栏和多层受害者验证机制。从乌克兰境外IP地址连接的系统接收到的是无害的PDF内容，而非恶意载荷，从而显著降低了研究人员和自动扫描系统接触到恶意程序的风险。

该恶意软件在投放其他有效载荷之前，还会对受感染主机进行广泛的指纹识别。收集到的系统信息每十分钟传输一次到攻击者控制的基础设施，使操作者能够手动判断受害者是否值得进一步攻击。只有在完成此验证过程后，该基础设施才会投放第三阶段的 JavaScript 投放器，该投放器负责安装 Cobalt Strike Beacon。

该行动结合了自动化过滤方法（包括基于用户代理和 IP 的验证）和人工操作员审查，凸显了高度规范和成熟的攻击方法。

区域目标战略扩展至东欧

目前的活动似乎主要集中在乌克兰的军事、国防和政府机构。然而，据信由“幽灵作家”在波兰和立陶宛开展的行动表明，其目标战略更为广泛，涉及多个关键领域：

• 工业和制造组织
• 医疗保健和制药机构
• 物流供应商
• 政府机构

Ghostwriter 的工具、投放机制和行动安全措施的持续演进，凸显了该组织的持久性和适应能力。它能够将定制的诱饵文档、选择性的有效载荷投放、反分析技术以及人工受害者验证相结合，展现出其高超的网络间谍能力，旨在规避检测的同时，最大限度地扩大行动影响。