Связанная с Беларусью хакерская группировка FrostyNeighbor, известная также под названиями Ghostwriter и UNC1151, с марта 2026 года проводит новую кибершпионскую кампанию против государственных учреждений Украины. Об этом говорится в новом исследовании компании ESET.
По оценке специалистов, группа действует как минимум с 2016 года и остается одной из наиболее активных кибершпионских структур в Восточной Европе. Основными целями FrostyNeighbor являются государственные учреждения, военные структуры и стратегически важные отрасли. На протяжении многих лет атаки были сосредоточены на Украине, Польше и Литве.
В новой кампании злоумышленники используют фишинговые письма с PDF-файлами. Один из обнаруженных документов маскировался под уведомление украинского оператора связи «Укртелеком». В файле содержалась ссылка на якобы официальный документ. Однако дальнейшее развитие атаки зависело от того, где находится потенциальная жертва.
Исследователи установили, что сервер злоумышленников проверяет IP-адрес пользователя еще до доставки вредоносного содержимого. Если запрос поступает не из Украины, пользователю выдается безвредный документ-приманка, связанный с регулированием сферы электронных коммуникаций. Если же жертва находится в Украине, сервер отправляет архив с вредоносным JavaScript-файлом.
После запуска скрипт показывает пользователю легитимный документ, одновременно устанавливая следующую стадию заражения — загрузчик PicassoLoader. Этот инструмент собирает информацию о системе, включая имя пользователя, название компьютера, версию операционной системы, время загрузки устройства и список запущенных процессов. Собранные данные регулярно отправляются на сервер управления злоумышленников.
По данным ESET, решение о дальнейшем заражении принимается не автоматически. Операторы группировки анализируют полученную информацию и определяют, представляет ли конкретная жертва интерес. Только после такой проверки на компьютер может быть доставлен следующий компонент атаки — инструмент на базе Cobalt Strike, позволяющий получить удаленный контроль над системой и использовать ее для шпионажа.
Авторы исследования отмечают, что FrostyNeighbor постоянно совершенствует свои методы. За последние годы группа использовала различные типы приманок, включая документы CHM, XLS, PPT и DOC, эксплуатировала уязвимость WinRAR CVE-2023-38831, а также применяла легитимные сервисы для доставки вредоносного кода и отслеживания жертв.
По оценке ESET, новая схема атак демонстрирует высокий уровень подготовки операторов. Использование географической фильтрации, проверки жертв на стороне сервера и многоступенчатой цепочки заражения позволяет злоумышленникам снижать риск обнаружения и концентрироваться на наиболее интересных целях.
В компании считают, что активность FrostyNeighbor подтверждает сохранение интереса связанных с Беларусью кибергрупп к государственным структурам и стратегическим объектам в странах Восточной Европы.
