**Ghostwriter** (également suivi sous les noms FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC‑0057, Umbral Bison, UNC1151 et White Lynx), un groupe de menace suspecté d'avoir des liens avec la Biélorussie, a été lié à une nouvelle vague d'attaques visant des organisations gouvernementales en Ukraine. Cet APT est actif depuis au moins 2016, connu pour ses opérations d'espionnage cybernétique et d'influence, ciblant principalement les pays voisins, en particulier l'Ukraine. **Tactiques et Outils de Ghostwriter** Les chercheurs d'**ESET** ont noté que FrostyNeighbor met constamment à jour sa boîte à outils et ses méthodes de compromission pour échapper à la détection. Les attaques précédentes ont impliqué la famille de malwares **PicassoLoader**, qui sert de conduit pour **Cobalt Strike Beacon** et **njRAT**. Fin 2023, le groupe a exploité une vulnérabilité **WinRAR** (**CVE-2023-38831**) pour déployer **PicassoLoader** et **Cobalt Strike**. En 2025, des entités polonaises ont été ciblées via une campagne de phishing exploitant une faille de cross-site scripting (XSS) dans **Roundcube** (**CVE-2024-42009**) pour capturer les identifiants de connexion par e-mail. Les comptes compromis ont ensuite été utilisés pour analyser le contenu des boîtes aux lettres, télécharger des listes de contacts et propager d'autres messages de phishing, selon un rapport de **CERT Polska**. Fin 2025, le groupe a intégré des techniques anti-analyse, utilisant des vérifications CAPTCHA dynamiques dans les documents leurres pour déclencher la chaîne d'attaque. Détails de la Dernière Campagne Depuis mars 2026, **Ghostwriter** utilise des attaques par spear-phishing avec des PDF malveillants pour cibler des entités gouvernementales ukrainiennes. Ces attaques déploient finalement une version JavaScript de **PicassoLoader** pour déposer **Cobalt Strike**. Les leurres PDF usurpent l'identité de la société de télécommunications ukrainienne **Ukrtelecom**. La séquence d'infection comprend une vérification de géolocalisation, livrant un PDF bénin si l'adresse IP de la victime n'est pas en Ukraine. Le lien intégré dans le PDF livre une archive RAR contenant une charge utile JavaScript, affichant un document leurre tout en lançant **PicassoLoader** en arrière-plan. Le téléchargeur profile l'hôte compromis, et les opérateurs décident manuellement s'il faut envoyer un téléchargeur JavaScript de troisième étape pour **Cobalt Strike Beacon**. L'empreinte du système est transmise à l'infrastructure contrôlée par l'attaquant toutes les 10 minutes, permettant à l'acteur de la menace d'évaluer la valeur de la victime.  Secteurs Ciblés L'objectif principal semble être les organisations militaires, de défense et gouvernementales en Ukraine. En Pologne et en Lituanie, la victimologie est plus large, incluant les secteurs industriel, manufacturier, de la santé, pharmaceutique, de la logistique et gouvernemental. Attaques GammaDrop et GammaLoad de **Gamaredon** Le groupe de piratage **Gamaredon**, affilié à la Russie, mène des campagnes de spear-phishing contre les institutions étatiques ukrainiennes depuis septembre 2025. Ces campagnes visent à livrer les malwares téléchargeurs **GammaDrop** et **GammaLoad** via des archives RAR exploitant **CVE-2025-8088**. Selon **HarfangLab**, ces e-mails, souvent usurpés ou envoyés depuis des comptes gouvernementaux compromis, livrent des téléchargeurs VBScript persistants et multi-étapes qui profilent le système infecté. Bien que les tactiques ne soient pas techniquement nouvelles, la force de **Gamaredon** réside dans son rythme opérationnel et son échelle implacables. BO Team et Hive0117 Ciblent la Russie **Kaspersky** rapporte que le groupe hacktiviste pro-ukrainien **BO Team** (alias Black Owl) pourrait collaborer avec **Head Mare** (alias PhantomCore) dans des attaques contre des organisations russes, citant des infrastructures et des outils qui se chevauchent. Les attaques de **BO Team** en 2026 ont utilisé le spear-phishing pour livrer BrockenDoor et ZeronetKit, ce dernier étant capable de compromettre des systèmes Linux. Ces attaques incluent également ZeroSSH, une backdoor basée sur Go, précédemment non documentée, capable d'exécuter des commandes arbitraires et d'établir un canal SSH inversé. Le **BO Team** a ciblé environ 20 organisations au premier trimestre 2026. **Kaspersky** note que la nature de l'interaction entre les groupes n'est pas claire, mais les intersections enregistrées d'outils et d'infrastructures suggèrent une coordination potentielle contre les organisations russes. **Hive0117**, un groupe à motivation financière, a également ciblé des entreprises russes, volant plus de 14 millions de roubles en s'introduisant dans les ordinateurs des comptables via des campagnes de phishing et en déguisant les transferts en paiements de salaire. Ces e-mails ont été envoyés à plus de 3 000 organisations russes entre février et mars 2026, selon **F6**. Les opérations de **Hive0117** ont également ciblé des utilisateurs en Lituanie, en Estonie, en Biélorussie et au Kazakhstan. Les attaques utilisent des leurres sur le thème des factures pour distribuer des archives RAR contenant des fichiers malveillants qui déploient DarkWatchman, un cheval de Troie d'accès à distance attribué au groupe. **F6** rapporte que les attaquants utilisent l'accès à distance aux systèmes bancaires en ligne via les ordinateurs compromis des comptables pour initier des paiements vers des comptes de mule. Si ces transactions contournent les systèmes anti-fraude, les attaquants peuvent retirer des sommes importantes des comptes des entreprises.