Der mit Weißrussland verbundene Bedrohungsakteur, bekannt als **Ghostwriter** (auch bekannt als UAC-0057 und UNC1151), wurde dabei beobachtet, wie er Lockmittel im Zusammenhang mit Prometheus, einer ukrainischen Online-Lernplattform, zur Bekämpfung von Regierungsorganisationen in der Ukraine einsetzt. Das Computer Emergency Response Team der Ukraine (CERT-UA) verfolgt diese Aktivität, die seit dem Frühjahr 2026 den Versand von Phishing-E-Mails von kompromittierten Konten beinhaltet. ### Details zur Phishing-Kampagne Laut CERT-UA enthalten die Phishing-E-Mails typischerweise einen PDF-Anhang mit einem Link. Das Klicken auf diesen Link führt zum Download eines ZIP-Archivs, das eine bösartige JavaScript-Datei enthält. "Typischerweise enthält die E-Mail einen PDF-Anhang mit einem Link, der nach dem Anklicken zum Download eines ZIP-Archivs führt, das eine JavaScript-Datei enthält", sagte die Behörde am Donnerstag in einem Bericht [hier](https://cert.gov.ua/article/6315762). ### Malware-Aufschlüsselung: OYSTERFRESH, OYSTERBLUES und OYSTERSHUCK Die JavaScript-Datei namens OYSTERFRESH fungiert als Dropper. Sie zeigt ein Lockdokument an, um den Benutzer abzulenken, während sie heimlich eine verschleierte und verschlüsselte Payload, OYSTERBLUES, in die Windows-Registrierung schreibt. Sie lädt auch OYSTERSHUCK herunter und startet es, das für die Dekodierung von OYSTERBLUES verantwortlich ist. OYSTERBLUES ist darauf ausgelegt, Systeminformationen zu sammeln, darunter den Computernamen, Benutzerkontodetails, die Betriebssystemversion, die Zeit des letzten Systemstarts und eine Liste der laufenden Prozesse. Diese Daten werden dann über eine HTTP POST-Anfrage an einen Command-and-Control (C2)-Server gesendet. Nach der anfänglichen Datenexfiltration wartet die Malware auf weitere Anweisungen in Form von JavaScript-Code der nächsten Stufe. Dieser Code wird mit der `eval()`-Funktion ausgeführt. Die endgültige Payload wird als **Cobalt Strike** eingeschätzt, ein Framework zur Simulation von Angreifern, das häufig für Post-Exploitation-Aufgaben missbraucht wird.  ### Empfehlungen zur Abwehr "Um die Wahrscheinlichkeit der Ausnutzung dieser Cyberbedrohung zu verringern, ist es ratsam, bekannte grundlegende Ansätze zur Reduzierung der Angriffsfläche anzuwenden, insbesondere durch Einschränkung der Möglichkeit, wscript.exe für Standardbenutzerkonten auszuführen", riet CERT-UA. ### KI in Cyberkriegsführung und Einflussoperationen Diese Enthüllung steht im Einklang mit jüngsten Enthüllungen des Nationalen Sicherheits- und Verteidigungsrates der Ukraine über den zunehmenden Einsatz von künstlicher Intelligenz (KI) durch Russland. Diese Werkzeuge, darunter **OpenAI**s ChatGPT und **Google** Gemini, werden für Aufklärungs- und Zielauswahlzwecke eingesetzt. Darüber hinaus wird KI in Malware integriert, um bösartige Befehle zur Laufzeit zu generieren. Der Rat hob die wichtigsten Angriffsvektoren hervor, die im Jahr 2025 beobachtet wurden, darunter Social Engineering, Ausnutzung von Schwachstellen, kompromittierte RDP- und VPN-Konten, Supply-Chain-Angriffe und die Verwendung von nicht lizenzierter Software mit integrierten Backdoors. ### Pro-Kreml-Propagandakampagne auf Bluesky In einer separaten Entwicklung sind Details zu einer Pro-Kreml-Propagandakampagne aufgetaucht, die seit 2024 legitime **Bluesky**-Benutzerkonten gekapert hat, um gefälschte Inhalte zu verbreiten. Zu den Zielen gehörten Journalisten und Professoren. Die Aktivität wurde der **Social Design Agency** zugeschrieben, einem Moskauer Unternehmen, das mit der Matryoshka-Kampagne in Verbindung gebracht wird. **Bluesky** hat darauf reagiert, indem es betroffene Konten bis zu vom Eigentümer initiierten Zurücksetzungen gesperrt hat.