**Ghostwriter** (também rastreado como FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC‑0057, Umbral Bison, UNC1151 e White Lynx), um grupo de ameaças com suspeitas ligações com a Bielorrússia, foi associado a uma nova onda de ataques visando organizações governamentais na Ucrânia. Este APT está ativo desde pelo menos 2016, conhecido tanto por espionagem cibernética quanto por operações de influência, visando principalmente países vizinhos, especialmente a Ucrânia. **Táticas e Conjunto de Ferramentas do Ghostwriter** Pesquisadores da **ESET** observaram que o FrostyNeighbor atualiza consistentemente seu conjunto de ferramentas e métodos de comprometimento para evadir detecção. Ataques anteriores envolveram a família de malware **PicassoLoader**, que serve como um condutor para **Cobalt Strike Beacon** e **njRAT**. No final de 2023, o grupo explorou uma vulnerabilidade do **WinRAR** (**CVE-2023-38831**) para implantar **PicassoLoader** e **Cobalt Strike**. Em 2025, entidades polonesas foram visadas por uma campanha de phishing explorando uma falha de cross-site scripting (XSS) no **Roundcube** (**CVE-2024-42009**) para capturar credenciais de login de e-mail. Contas comprometidas foram então usadas para analisar o conteúdo de caixas de correio, baixar listas de contatos e propagar mais mensagens de phishing, de acordo com um relatório do **CERT Polska**. Até o final de 2025, o grupo incorporou técnicas anti-análise, usando verificações dinâmicas de CAPTCHA em documentos de isca para acionar a cadeia de ataque. **Detalhes da Última Campanha** Desde março de 2026, o **Ghostwriter** tem utilizado ataques de spear-phishing com PDFs maliciosos para atingir entidades governamentais ucranianas. Esses ataques, em última instância, implantam uma versão JavaScript do **PicassoLoader** para descarregar **Cobalt Strike**. Os documentos PDF falsos se passam pela empresa de telecomunicações ucraniana **Ukrtelecom**. A sequência de infecção inclui uma verificação de geofencing, entregando um PDF benigno se o endereço IP da vítima não estiver na Ucrânia. O link incorporado no PDF entrega um arquivo RAR contendo um payload JavaScript, exibindo um documento de isca enquanto lança o **PicassoLoader** em segundo plano. O downloader perfila o host comprometido, e os operadores decidem manualmente se enviam um dropper JavaScript de terceiro estágio para o **Cobalt Strike Beacon**. A impressão digital do sistema é transmitida para a infraestrutura controlada pelo atacante a cada 10 minutos, permitindo que o ator de ameaça avalie o valor da vítima.  **Setores Visados** O foco principal parece ser organizações militares, de defesa e governamentais na Ucrânia. Na Polônia e Lituânia, a vitimologia é mais ampla, incluindo os setores industrial, de manufatura, saúde, farmacêutico, logístico e governamental. **Ataques GammaDrop e GammaLoad do Gamaredon** O grupo de hackers **Gamaredon**, afiliado à Rússia, tem realizado campanhas de spear-phishing contra instituições estatais ucranianas desde setembro de 2025. Essas campanhas visam entregar os malwares downloader **GammaDrop** e **GammaLoad** via arquivos RAR explorando **CVE-2025-8088**. De acordo com a **HarfangLab**, esses e-mails, frequentemente falsificados ou enviados de contas governamentais comprometidas, entregam downloaders VBScript persistentes e multi-estágio que perfilam o sistema infectado. Embora as táticas não sejam tecnicamente novas, a força do **Gamaredon** reside em seu ritmo operacional implacável e escala. **BO Team e Hive0117 Visam a Rússia** A **Kaspersky** relata que o grupo hacktivista pró-Ucrânia **BO Team** (também conhecido como Black Owl) pode estar colaborando com o **Head Mare** (também conhecido como PhantomCore) em ataques contra organizações russas, citando infraestrutura e ferramentas sobrepostas. Ataques do **BO Team** em 2026 usaram spear-phishing para entregar BrockenDoor e ZeronetKit, sendo este último capaz de comprometer sistemas Linux. Esses ataques também apresentam o ZeroSSH, um backdoor baseado em Go anteriormente indocumentado que pode executar comandos arbitrários e estabelecer um canal SSH reverso. O **BO Team** visou aproximadamente 20 organizações no primeiro trimestre de 2026. A **Kaspersky** observa que a natureza da interação entre os grupos é incerta, mas as interseções registradas de ferramentas e infraestrutura sugerem coordenação potencial contra organizações russas. O **Hive0117**, um grupo com motivação financeira, também visou empresas russas, roubando mais de 14 milhões de rublos ao invadir computadores de contadores via campanhas de phishing e disfarçando transferências como pagamentos de salário. Esses e-mails foram enviados para mais de 3.000 organizações russas entre fevereiro e março de 2026, de acordo com a **F6**. As operações do **Hive0117** também visaram usuários na Lituânia, Estônia, Bielorrússia e Cazaquistão. Os ataques usam iscas com tema de faturas para distribuir arquivos RAR contendo arquivos maliciosos que descarregam o DarkWatchman, um trojan de acesso remoto atribuído ao grupo. A **F6** relata que os atacantes usam acesso remoto a sistemas de banco online via computadores de contadores comprometidos para iniciar pagamentos para contas de mulas. Se essas transações contornarem os sistemas antifraude, os atacantes podem sacar quantias significativas das contas das empresas.