**Ghostwriter** (también rastreado como FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC‑0057, Umbral Bison, UNC1151 y White Lynx), un grupo de amenazas con supuestos vínculos con Bielorrusia, ha sido relacionado con una nueva ola de ataques dirigidos a organizaciones gubernamentales en Ucrania. Esta APT ha estado activa desde al menos 2016, conocida tanto por el ciberespionaje como por las operaciones de influencia, apuntando principalmente a países vecinos, especialmente Ucrania. Tácticas y Herramientas de **Ghostwriter** Investigadores de **ESET** han notado que FrostyNeighbor actualiza constantemente su conjunto de herramientas y métodos de compromiso para evadir la detección. Ataques anteriores han involucrado la familia de malware **PicassoLoader**, que sirve como conducto para **Cobalt Strike Beacon** y **njRAT**. A finales de 2023, el grupo explotó una vulnerabilidad de **WinRAR** (**CVE-2023-38831**) para desplegar **PicassoLoader** y **Cobalt Strike**. En 2025, entidades polacas fueron atacadas a través de una campaña de phishing que explotó una falla de cross-site scripting (XSS) en **Roundcube** (**CVE-2024-42009**) para capturar credenciales de inicio de sesión de correo electrónico. Las cuentas comprometidas se utilizaron luego para analizar el contenido de los buzones, descargar listas de contactos y propagar más mensajes de phishing, según un informe de **CERT Polska**. Para finales de 2025, el grupo incorporó técnicas anti-análisis, utilizando verificaciones dinámicas de CAPTCHA en documentos señuelo para activar la cadena de ataque. Detalles de la Última Campaña Desde marzo de 2026, **Ghostwriter** ha estado utilizando ataques de spear-phishing con PDFs maliciosos para atacar a entidades gubernamentales ucranianas. Estos ataques finalmente despliegan una versión en JavaScript de **PicassoLoader** para instalar **Cobalt Strike**. Los señuelos en PDF se hacen pasar por la empresa de telecomunicaciones ucraniana **Ukrtelecom**. La secuencia de infección incluye una verificación de geolocalización, entregando un PDF benigno si la dirección IP de la víctima no está en Ucrania. El enlace incrustado en el PDF entrega un archivo RAR que contiene un payload de JavaScript, mostrando un documento señuelo mientras lanza **PicassoLoader** en segundo plano. El descargador perfila el host comprometido, y los operadores deciden manualmente si enviar un dropper de JavaScript de tercera etapa para **Cobalt Strike Beacon**. La huella digital del sistema se transmite a la infraestructura controlada por el atacante cada 10 minutos, lo que permite al actor de amenazas evaluar el valor de la víctima.  Sectores Atacados El enfoque principal parece ser organizaciones militares, de defensa y gubernamentales en Ucrania. En Polonia y Lituania, la victimología es más amplia, incluyendo sectores industrial, manufacturero, de salud, farmacéutico, logístico y gubernamental. **GammaDrop** y **GammaLoad** de **Gamaredon** El grupo de hackers **Gamaredon**, afiliado a Rusia, ha estado realizando campañas de spear-phishing contra instituciones estatales ucranianas desde septiembre de 2025. Estas campañas tienen como objetivo entregar los malware descargadores **GammaDrop** y **GammaLoad** a través de archivos RAR que explotan **CVE-2025-8088**. Según **HarfangLab**, estos correos electrónicos, a menudo falsificados o enviados desde cuentas gubernamentales comprometidas, entregan descargadores VBScript persistentes y de múltiples etapas que perfilan el sistema infectado. Si bien las tácticas no son técnicamente novedosas, la fortaleza de **Gamaredon** radica en su ritmo operativo y escala implacables. **BO Team** y **Hive0117** Atacan a Rusia **Kaspersky** informa que el grupo hacktivista pro-ucraniano **BO Team** (también conocido como Black Owl) podría estar colaborando con **Head Mare** (también conocido como PhantomCore) en ataques contra organizaciones rusas, citando infraestructura y herramientas superpuestas. Los ataques de **BO Team** en 2026 han utilizado spear-phishing para entregar BrockenDoor y ZeronetKit, siendo este último capaz de comprometer sistemas Linux. Estos ataques también presentan ZeroSSH, un backdoor basado en Go previamente indocumentado que puede ejecutar comandos arbitrarios y establecer un canal SSH inverso. **BO Team** ha atacado aproximadamente a 20 organizaciones en el primer trimestre de 2026. **Kaspersky** señala que la naturaleza de la interacción entre los grupos no está clara, pero las intersecciones registradas de herramientas e infraestructura sugieren una posible coordinación contra organizaciones rusas. **Hive0117**, un grupo con motivaciones financieras, también ha atacado a empresas rusas, robando más de 14 millones de rublos al irrumpir en las computadoras de los contadores a través de campañas de phishing y disfrazando las transferencias como pagos de salarios. Estos correos electrónicos se enviaron a más de 3.000 organizaciones rusas entre febrero y marzo de 2026, según **F6**. Las operaciones de **Hive0117** también han apuntado a usuarios en Lituania, Estonia, Bielorrusia y Kazajistán. Los ataques utilizan señuelos con temática de facturas para distribuir archivos RAR que contienen archivos maliciosos que instalan DarkWatchman, un troyano de acceso remoto atribuido al grupo. **F6** informa que los atacantes utilizan el acceso remoto a sistemas de banca en línea a través de computadoras de contadores comprometidas para iniciar pagos a cuentas de mulas. Si estas transacciones eluden los sistemas antifraude, los atacantes pueden retirar cantidades significativas de las cuentas de las empresas.