**Ghostwriter** (auch bekannt als FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC‑0057, Umbral Bison, UNC1151 und White Lynx), eine Bedrohungsgruppe mit mutmaßlichen Verbindungen zu Weißrussland, wurde mit einer neuen Angriffswelle gegen Regierungsorganisationen in der Ukraine in Verbindung gebracht. Diese APT ist seit mindestens 2016 aktiv und bekannt für Cyber-Spionage und Einflussoperationen, die sich hauptsächlich gegen Nachbarländer, insbesondere die Ukraine, richten. **Taktiken und Werkzeuge von Ghostwriter** **ESET**-Forscher haben festgestellt, dass FrostyNeighbor seine Werkzeuge und Kompromittierungsmethoden ständig aktualisiert, um Erkennung zu vermeiden. Frühere Angriffe beinhalteten die **PicassoLoader**-Malware-Familie, die als Kanal für **Cobalt Strike Beacon** und **njRAT** dient. Ende 2023 nutzte die Gruppe eine **WinRAR**-Schwachstelle (**CVE-2023-38831**), um **PicassoLoader** und **Cobalt Strike** einzusetzen. Im Jahr 2025 wurden polnische Einrichtungen über eine Phishing-Kampagne angegriffen, die eine Cross-Site-Scripting (XSS)-Schwachstelle in **Roundcube** (**CVE-2024-4009**) ausnutzte, um E-Mail-Login-Anmeldedaten zu stehlen. Kompromittierte Konten wurden dann verwendet, um E-Mail-Inhalte zu analysieren, Kontaktlisten herunterzuladen und weitere Phishing-Nachrichten zu verbreiten, so ein Bericht von **CERT Polska**. Bis Ende 2025 integrierte die Gruppe Anti-Analyse-Techniken und nutzte dynamische CAPTCHA-Prüfungen in Köderdokumenten, um die Angriffskette auszulösen. Details zur neuesten Kampagne Seit März 2026 nutzt **Ghostwriter** Spear-Phishing-Angriffe mit bösartigen PDFs, um ukrainische Regierungseinrichtungen ins Visier zu nehmen. Diese Angriffe setzen letztendlich eine JavaScript-Version von **PicassoLoader** ein, um **Cobalt Strike** abzulegen. Die PDF-Köder geben sich als das ukrainische Telekommunikationsunternehmen **Ukrtelecom** aus. Die Infektionssequenz beinhaltet eine Geofencing-Prüfung, bei der ein harmloses PDF geliefert wird, wenn die IP-Adresse des Opfers nicht in der Ukraine liegt. Der eingebettete Link im PDF liefert ein RAR-Archiv, das eine JavaScript-Payload enthält, die ein Köderdokument anzeigt, während **PicassoLoader** im Hintergrund gestartet wird. Der Downloader profiliert den kompromittierten Host, und die Betreiber entscheiden manuell, ob ein JavaScript-Dropper der dritten Stufe für **Cobalt Strike Beacon** gesendet wird. Der System-Fingerabdruck wird alle 10 Minuten an die vom Angreifer kontrollierte Infrastruktur übertragen, was es dem Bedrohungsakteur ermöglicht, den Wert des Opfers einzuschätzen.  Zielsektoren Der Hauptfokus liegt offenbar auf militärischen, verteidigungsbezogenen und staatlichen Organisationen in der Ukraine. In Polen und Litauen ist die Opferbasis breiter gefächert und umfasst Industrie, Fertigung, Gesundheitswesen, Pharmazie, Logistik und Regierungssektoren. **GammaDrop- und GammaLoad-Angriffe von Gamaredon** Die mit Russland verbundene Hacker-Gruppe **Gamaredon** führt seit September 2025 Spear-Phishing-Kampagnen gegen ukrainische staatliche Institutionen durch. Diese Kampagnen zielen darauf ab, die Downloader-Malware **GammaDrop** und **GammaLoad** über RAR-Archive bereitzustellen, die **CVE-2025-8088** ausnutzen. Laut **HarfangLab** liefern diese E-Mails, die oft gefälscht sind oder von kompromittierten Regierungskonten gesendet werden, persistente, mehrstufige VBScript-Downloader, die das infizierte System profilieren. Obwohl die Taktiken technisch nicht neu sind, liegt die Stärke von **Gamaredon** in seinem unerbittlichen operativen Tempo und seiner Skalierung. BO Team und Hive0117 zielen auf Russland **Kaspersky** berichtet, dass die pro-ukrainische Hacktivistengruppe **BO Team** (auch bekannt als Black Owl) möglicherweise mit **Head Mare** (auch bekannt als PhantomCore) bei Angriffen auf russische Organisationen zusammenarbeitet, was auf überlappende Infrastrukturen und Werkzeuge hindeutet. **BO Team**-Angriffe im Jahr 2026 nutzten Spear-Phishing, um BrockenDoor und ZeronetKit bereitzustellen, wobei letzteres in der Lage ist, Linux-Systeme zu kompromittieren. Diese Angriffe beinhalten auch ZeroSSH, einen zuvor undokumentierten Go-basierten Backdoor, der beliebige Befehle ausführen und einen Reverse-SSH-Kanal aufbauen kann. Das **BO Team** hat im ersten Quartal 2026 etwa 20 Organisationen ins Visier genommen. **Kaspersky** merkt an, dass die Art der Interaktion zwischen den Gruppen unklar ist, aber die aufgezeichneten Überschneidungen von Werkzeugen und Infrastrukturen deuten auf eine mögliche Koordination gegen russische Organisationen hin. **Hive0117**, eine finanziell motivierte Gruppe, hat ebenfalls russische Unternehmen ins Visier genommen und über 14 Millionen Rubel gestohlen, indem sie über Phishing-Kampagnen in die Computer von Buchhaltern eingebrochen ist und Überweisungen als Gehaltszahlungen getarnt hat. Diese E-Mails wurden zwischen Februar und März 2026 an über 3.000 russische Organisationen gesendet, so **F6**. Die Operationen von **Hive0117** richteten sich auch gegen Nutzer in Litauen, Estland, Weißrussland und Kasachstan. Die Angriffe nutzen Rechnungs-Themen als Köder, um RAR-Archive mit bösartigen Dateien zu verteilen, die DarkWatchman, einen der Gruppe zugeschriebenen Remote-Access-Trojaner, ablegen. **F6** berichtet, dass die Angreifer Fernzugriff auf Online-Banking-Systeme über kompromittierte Buchhalter-Computer nutzen, um Zahlungen an Geldwäscherkonten zu initiieren. Wenn diese Transaktionen Betrugserkennungssysteme umgehen, können die Angreifer erhebliche Beträge von den Konten der Unternehmen abheben.