O ator de ameaças alinhado à Bielorrússia, conhecido como **Ghostwriter** (também conhecido como UAC-0057 e UNC1151), tem sido observado usando iscas relacionadas ao Prometheus, uma plataforma de aprendizado online ucraniana, para atingir organizações governamentais na Ucrânia. A Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) tem rastreado essa atividade, que envolve o envio de e-mails de phishing a partir de contas comprometidas desde a primavera de 2026. ### Detalhes da Campanha de Phishing De acordo com a CERT-UA, os e-mails de phishing geralmente contêm um anexo PDF com um link. Clicar neste link leva ao download de um arquivo ZIP contendo um arquivo JavaScript malicioso. "Normalmente, o e-mail contém um anexo PDF com um link que, quando clicado, leva ao download de um arquivo ZIP contendo um arquivo JavaScript", disse a agência [neste relatório](https://cert.gov.ua/article/6315762) na quinta-feira. ### Análise do Malware: OYSTERFRESH, OYSTERBLUES e OYSTERSHUCK O arquivo JavaScript, chamado OYSTERFRESH, atua como um dropper. Ele exibe um documento de isca para distrair o usuário enquanto escreve furtivamente um payload ofuscado e criptografado, OYSTERBLUES, no Registro do Windows. Ele também baixa e executa OYSTERSHUCK, que é responsável por decodificar OYSTERBLUES. OYSTERBLUES é projetado para coletar informações do sistema, incluindo o nome do computador, detalhes da conta do usuário, versão do sistema operacional, hora da última inicialização do sistema operacional e uma lista de processos em execução. Esses dados são então enviados para um servidor de comando e controle (C2) via requisição HTTP POST. Após a exfiltração inicial de dados, o malware aguarda mais instruções na forma de código JavaScript de próxima etapa. Este código é executado usando a função `eval()`. O payload final é avaliado como **Cobalt Strike**, um framework de simulação de adversários comumente abusado para tarefas de pós-exploração.  ### Recomendações de Mitigação "Para reduzir a probabilidade de exploração desta ameaça cibernética, é aconselhável aplicar abordagens básicas conhecidas para reduzir a superfície de ataque, especificamente restringindo a capacidade de executar wscript.exe para contas de usuário padrão", aconselhou a CERT-UA. ### IA na Guerra Cibernética e Operações de Influência Esta divulgação está alinhada com revelações recentes do Conselho de Segurança Nacional e Defesa da Ucrânia sobre o uso crescente de ferramentas de inteligência artificial (IA) pela Rússia. Essas ferramentas, incluindo ChatGPT da **OpenAI** e Gemini do **Google**, estão sendo usadas para reconhecimento e seleção de alvos. Além disso, a IA está sendo integrada ao malware para gerar comandos maliciosos em tempo de execução. O Conselho destacou os principais vetores de ataque observados em 2025, que incluíram engenharia social, exploração de vulnerabilidades, contas RDP e VPN comprometidas, ataques à cadeia de suprimentos e o uso de software sem licença contendo backdoors embutidos. ### Campanha de Propaganda Pró-Kremlin no Bluesky Em um desenvolvimento separado, detalhes emergiram sobre uma campanha de propaganda pró-Kremlin que sequestrou contas legítimas de usuários do **Bluesky** para disseminar conteúdo falso desde 2024. Os alvos incluíam jornalistas e professores. A atividade foi atribuída à **Social Design Agency**, uma empresa sediada em Moscou ligada à campanha Matryoshka. O **Bluesky** respondeu suspendendo as contas afetadas até que os proprietários iniciem redefinições.