Le groupe de menace aligné sur la Biélorussie, connu sous le nom de **Ghostwriter** (également connu sous les noms de UAC-0057 et UNC1151), a été observé utilisant des leurres liés à Prometheus, une plateforme d'apprentissage en ligne ukrainienne, pour cibler des organisations gouvernementales en Ukraine. Le Computer Emergency Response Team of Ukraine (CERT-UA) suit cette activité, qui implique l'envoi d'e-mails de phishing depuis des comptes compromis depuis le printemps 2026. ### Détails de la campagne de phishing Selon CERT-UA, les e-mails de phishing contiennent généralement une pièce jointe PDF avec un lien. Le clic sur ce lien entraîne le téléchargement d'une archive ZIP contenant un fichier JavaScript malveillant. « Généralement, l'e-mail contient une pièce jointe PDF avec un lien qui, une fois cliqué, entraîne le téléchargement d'une archive ZIP contenant un fichier JavaScript », a déclaré l'agence [dans un rapport](https://cert.gov.ua/article/6315762) jeudi. ### Analyse du malware : OYSTERFRESH, OYSTERBLUES et OYSTERSHUCK Le fichier JavaScript, nommé OYSTERFRESH, agit comme un dropper. Il affiche un document leurre pour distraire l'utilisateur tout en écrivant furtivement une charge utile obfusquée et chiffrée, OYSTERBLUES, dans le registre Windows. Il télécharge et lance également OYSTERSHUCK, responsable du décodage de OYSTERBLUES. OYSTERBLUES est conçu pour collecter des informations système, notamment le nom de l'ordinateur, les détails du compte utilisateur, la version du système d'exploitation, l'heure du dernier démarrage du système d'exploitation et une liste des processus en cours d'exécution. Ces données sont ensuite envoyées à un serveur de commande et de contrôle (C2) via une requête HTTP POST. Après l'exfiltration initiale des données, le malware attend des instructions supplémentaires sous la forme d'un code JavaScript de l'étape suivante. Ce code est exécuté à l'aide de la fonction `eval()`. La charge utile finale est estimée être **Cobalt Strike**, un framework de simulation d'adversaire couramment abusé pour les tâches post-exploitation.  ### Recommandations de mitigation « Pour réduire la probabilité que cette cybermenace soit exploitée, il est conseillé d'appliquer des approches de base connues pour réduire la surface d'attaque, notamment en restreignant la capacité d'exécuter wscript.exe pour les comptes utilisateurs standard », a conseillé CERT-UA. ### L'IA dans la cyberguerre et les opérations d'influence Cette divulgation s'aligne sur les récentes révélations du Conseil de sécurité nationale et de défense de l'Ukraine concernant l'utilisation croissante par la Russie d'outils d'intelligence artificielle (IA). Ces outils, notamment ChatGPT d'**OpenAI** et Gemini de **Google**, sont utilisés pour la reconnaissance et la sélection de cibles. De plus, l'IA est intégrée aux malwares pour générer des commandes malveillantes à l'exécution. Le Conseil a souligné les principaux vecteurs d'attaque observés en 2025, qui comprenaient l'ingénierie sociale, l'exploitation de vulnérabilités, les comptes RDP et VPN compromis, les attaques de la chaîne d'approvisionnement et l'utilisation de logiciels sans licence contenant des backdoors intégrés. ### Campagne de propagande pro-Kremlin sur Bluesky Dans un développement distinct, des détails ont émergé concernant une campagne de propagande pro-Kremlin qui a détourné des comptes utilisateurs légitimes de **Bluesky** pour diffuser de faux contenus depuis 2024. Les cibles comprenaient des journalistes et des professeurs. L'activité a été attribuée à la **Social Design Agency**, une entreprise basée à Moscou liée à la campagne Matryoshka. **Bluesky** a réagi en suspendant les comptes affectés en attendant des réinitialisations initiées par les propriétaires.