ベラルーシとの関連が疑われる脅威グループ**Ghostwriter**（FrostyNeighbor、PUSHCHA、Storm-0257、TA445、UAC‑0057、Umbral Bison、UNC1151、White Lynxとも追跡されている）は、ウクライナの政府機関を標的とした新たな攻撃波に関連付けられています。このAPTは少なくとも2016年から活動しており、サイバー諜報活動と影響力工作の両方で知られ、主に近隣諸国、特にウクライナを標的にしています。 **Ghostwriter**の戦術とツールセット **ESET**の研究者によると、FrostyNeighborは検出を回避するためにツールセットと侵害手法を常に更新しています。過去の攻撃では、**Cobalt Strike Beacon**と**njRAT**の通信路として機能する**PicassoLoader**マルウェアファミリーが使用されていました。2023年末には、このグループは**WinRAR**の脆弱性（**CVE-2023-38831**）を悪用して**PicassoLoader**と**Cobalt Strike**を展開しました。 2025年には、ポーランドの組織が、**Roundcube**（**CVE-2024-42009**）のクロスサイトスクリプティング（XSS）の脆弱性を悪用したフィッシングキャンペーンを通じて標的にされ、メールログイン認証情報を窃取しました。**CERT Polska**の報告によると、侵害されたアカウントはメールボックスの内容を分析し、連絡先リストをダウンロードし、さらなるフィッシングメッセージを拡散するために使用されました。 2025年末までに、このグループは動的なCAPTCHAチェックをルアー文書に使用し、攻撃チェーンをトリガーするアンチ分析技術を組み込みました。 最新のキャンペーン詳細 2026年3月以降、**Ghostwriter**は悪意のあるPDFを使用したスピアフィッシング攻撃でウクライナ政府機関を標的にしています。これらの攻撃は最終的に**PicassoLoader**のJavaScriptバージョンを展開し、**Cobalt Strike**をドロップします。PDFのデコイは、ウクライナの通信会社**Ukrtelecom**を装っています。 感染シーケンスにはジオフェンシングチェックが含まれており、被害者のIPアドレスがウクライナにない場合は無害なPDFが配信されます。PDF内の埋め込みリンクはRARアーカイブを配信し、その中にはJavaScriptペイロードが含まれており、バックグラウンドで**PicassoLoader**を起動しながらルアー文書を表示します。 ダウンローダーは侵害されたホストをプロファイルし、オペレーターは手動で**Cobalt Strike Beacon**用のサードステージJavaScriptドロッパーを送信するかどうかを決定します。システムフィンガープリントは10分ごとに攻撃者管理下のインフラストラクチャに送信され、脅威アクターが被害者の価値を評価できるようにします。  標的となったセクター 主な標的は、ウクライナの軍事、防衛、政府機関のようです。ポーランドとリトアニアでは、産業、製造、ヘルスケア、製薬、物流、政府セクターを含む、より広範な被害者層が存在します。 **Gamaredon**のGammaDropおよびGammaLoad攻撃 ロシアと連携するハッキンググループ**Gamaredon**は、2025年9月以降、ウクライナの国家機関に対するスピアフィッシングキャンペーンを実施しています。これらのキャンペーンは、**CVE-2025-8088**を悪用したRARアーカイブを介して**GammaDrop**および**GammaLoad**ダウンローダーマルウェアを配信することを目的としています。 **HarfangLab**によると、これらのメールは、しばしばなりすましや侵害された政府アカウントから送信され、侵害されたシステムをプロファイルする永続的なマルチステージVBScriptダウンローダーを配信します。戦術自体は技術的に新規ではありませんが、**Gamaredon**の強みは、その執拗な運用テンポと規模にあります。 BO TeamとHive0117はロシアを標的に **Kaspersky**の報告によると、親ウクライナのハクティビストグループ**BO Team**（別名Black Owl）は、重複するインフラストラクチャとツールを引用し、ロシアの組織に対する攻撃で**Head Mare**（別名PhantomCore）と協力している可能性があります。2026年の**BO Team**の攻撃では、スピアフィッシングを使用してBrockenDoorとZeronetKitを配信しており、後者はLinuxシステムを侵害する能力があります。 これらの攻撃には、任意のコマンドを実行し、リバースSSHチャネルを確立できる、以前は文書化されていなかったGoベースのバックドアであるZeroSSHも含まれています。**BO Team**は、2026年第1四半期に約20の組織を標的にしました。 **Kaspersky**は、グループ間の相互作用の性質は不明であると指摘していますが、ツールとインフラストラクチャの記録された交差は、ロシアの組織に対する潜在的な連携を示唆しています。 金銭目的のグループである**Hive0117**もロシアの企業を標的にしており、フィッシングキャンペーンを通じて会計士のコンピューターに侵入し、給与支払いとして偽装することで1400万ルーブル以上を盗んでいます。**F6**によると、これらのメールは2026年2月から3月の間に3,000以上のロシアの組織に送信されました。 **Hive0117**の活動は、リトアニア、エストニア、ベラルーシ、カザフスタンのユーザーも標的にしています。攻撃は請求書をテーマにしたルアーを使用して、グループに帰属するリモートアクセス型トロイの木馬であるDarkWatchmanをドロップする悪意のあるファイルを含むRARアーカイブを配布します。 **F6**の報告によると、攻撃者は侵害された会計士のコンピューターを介してオンラインバンキングシステムへのリモートアクセスを使用し、支払いをマレ口座に送金します。これらの取引がアンチフラウドシステムをバイパスした場合、攻撃者は会社の口座からかなりの金額を引き出すことができます。