Un grupo de hackers con vínculos con Bielorrusia, **GhostWriter** (también conocido como UNC1151 y Storm-0257), ha lanzado una nueva campaña de espionaje dirigida a funcionarios del gobierno ucraniano. La campaña utiliza sofisticados correos electrónicos de phishing disfrazados de mensajes de **Prometheus**, una popular plataforma de aprendizaje en línea en Ucrania, para distribuir malware. Según el equipo de respuesta a emergencias informáticas de Ucrania, **CERT-UA**, la campaña ha estado activa desde la primavera de 2024 e involucra correos electrónicos de phishing enviados desde cuentas comprometidas a empleados de organizaciones gubernamentales. ### Detalles del Esquema de Phishing Los correos electrónicos están diseñados para parecer mensajes legítimos de **Prometheus**, afirmando ofrecer certificados por completar cursos en línea. **Prometheus** ofrece una amplia gama de cursos, incluidos aquellos relacionados con programación, negocios, administración pública, servicio militar e incluso ingeniería de drones, lo que lo convierte en un señuelo efectivo. ### Modus Operandi de GhostWriter **GhostWriter**, un actor de amenazas vinculado a los servicios de inteligencia estatales bielorrusos, tiene un historial de atacar al personal militar ucraniano, instituciones gubernamentales polacas y otros funcionarios de la región. Sus tácticas anteriores incluyen el robo de credenciales y operaciones de influencia. ### Distribución de Malware y Cadena de Infección Los correos electrónicos de phishing contienen un archivo adjunto PDF con un enlace malicioso. Este enlace descarga un archivo ZIP que contiene malware identificado como OysterFresh. La cadena de malware implementa además componentes conocidos como OysterBlues y OysterShuck. Estos componentes están diseñados para recopilar información del sistema de los dispositivos infectados y transmitirla a infraestructura controlada por el atacante, que está oculta detrás de **Cloudflare**. ### Exfiltración de Datos y Posible Despliegue de Cobalt Strike **CERT-UA** informa que el malware recopila una amplia gama de detalles, incluido el nombre del equipo, la versión del sistema operativo, la información de la cuenta de usuario y una lista de procesos en ejecución. La agencia también advierte que los sistemas comprometidos podrían recibir potencialmente un payload vinculado a **Cobalt Strike**, una herramienta legítima de pruebas de penetración frecuentemente abusada por ciberdelincuentes y grupos respaldados por estados con fines maliciosos. ### Reciente Campaña de Espionaje Dirigida al Sistema Delta Esta advertencia sigue a una divulgación reciente por parte de **CERT-UA** sobre otra campaña de espionaje dirigida a usuarios de Delta, el sistema ucraniano de gestión de campos de batalla y conocimiento de la situación. En esa operación, los atacantes enviaron correos electrónicos de phishing haciéndose pasar por alertas de agencias de ciberseguridad ucranianas, advirtiendo a los destinatarios sobre supuestos accesos no autorizados a cuentas de Delta.