Campanha de spear phishing usa documentos PDF falsos da Ukrtelecom, validação por IP e perfilamento do host antes de liberar PicassoLoader e um estágio JavaScript para Cobalt Strike Beacon.
| Componente | Campanha de spear phishing atribuída ao grupo Ghostwriter, também rastreado como FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 e White Lynx. |
| Vetor | Anexos PDF maliciosos com links incorporados enviados a entidades governamentais ucranianas; a carga só avança quando a validação por IP indica vítima na Ucrânia. |
| Impacto | Execução de payload JavaScript, inicialização do PicassoLoader, perfilamento do sistema comprometido e possível implantação manual de Cobalt Strike Beacon como terceiro estágio. |
| Prioridade | Bloquear execução de JavaScript oriunda de arquivos compactados, revisar anexos PDF com URLs externas, correlacionar tráfego periódico de perfilamento e isolar hosts que executaram conteúdo extraído de RAR. |
| Artefatos | PDFs falsos associados à Ukrtelecom, arquivos RAR, payload JavaScript, PicassoLoader, Cobalt Strike Beacon, iscas com CAPTCHA dinâmico em operações anteriores e histórico de uso de njRAT. |
| Versões | Não há versão de produto afetado nesta campanha; referências históricas incluem exploração de CVE-2023-38831 no WinRAR e CVE-2024-42009 no Roundcube em operações anteriores do mesmo ator. |
| Mitigação | Reforçar inspeção de URLs em PDFs, restringir interpretes de script no endpoint, registrar criação e execução de arquivos vindos de RAR, e revisar contas governamentais usadas para propagação de phishing. |
O Ghostwriter, grupo alinhado a interesses bielorrussos e ativo desde pelo menos 2016, foi associado a uma nova cadeia de ataque contra organizações governamentais da Ucrânia. A operação observada desde março de 2026 combina spear phishing, documentos PDF de isca, entrega condicionada por localização e estágios JavaScript para reduzir exposição da carga a ambientes fora do alvo. A campanha se encaixa no histórico do grupo de alternar espionagem cibernética com operações de influência contra países vizinhos, especialmente Ucrânia, Polônia e Lituânia. A atividade atual concentra-se em entidades governamentais ucranianas e também alcança setores militares e de defesa, enquanto campanhas relacionadas em outros países apresentaram seleção de vítimas mais ampla.
A cadeia recente usa PDFs que se passam pela empresa ucraniana de telecomunicações Ukrtelecom. O PDF contém um link que não entrega a mesma resposta para todos os acessos: quando o endereço IP do solicitante não corresponde à Ucrânia, o servidor retorna um PDF benigno, reduzindo a chance de análise automatizada por pesquisadores ou sandboxes em outras regiões. Quando a requisição passa pela validação de localização e por controles adicionais do lado do servidor, a vítima recebe um arquivo RAR com payload JavaScript. Esse script mantém a fraude visual com um documento de isca, enquanto executa o PicassoLoader em segundo plano para preparar o host para etapas posteriores.
O fluxo começa com uma mensagem direcionada contendo um PDF anexado. O valor operacional do PDF não está no conteúdo em si, mas no link embutido e no controle de entrega aplicado no servidor remoto. Ao clicar, a vítima aciona uma requisição que permite ao operador validar IP e agente de usuário antes de liberar o próximo arquivo. Essa arquitetura transfere parte da decisão para a infraestrutura do invasor: ambientes não ucranianos recebem conteúdo inofensivo, enquanto sistemas que parecem pertencer ao conjunto desejado seguem para o RAR malicioso. O uso de RAR preserva compatibilidade com rotinas comuns de troca de documentos e dificulta controles que analisam apenas anexos iniciais de e-mail.
Depois da extração, o payload JavaScript executa duas funções em paralelo. A primeira é social: abrir ou exibir a isca para reduzir suspeita do usuário e sustentar a narrativa do documento. A segunda é operacional: iniciar o PicassoLoader, componente já observado em campanhas anteriores do Ghostwriter como canal para cargas de pós-exploração. O downloader coleta características do host comprometido e envia esse perfil para infraestrutura controlada pelo ator a cada 10 minutos. Esse intervalo de comunicação permite que os operadores decidam manualmente se o sistema tem valor suficiente para receber o terceiro estágio, descrito como um dropper JavaScript que instala Cobalt Strike Beacon.
A validação manual altera a prioridade defensiva. A ausência imediata de Cobalt Strike Beacon em um endpoint não elimina comprometimento, porque o host pode estar em fase de perfilamento e aguardando decisão do operador. O tráfego periódico, a execução de script a partir de diretórios temporários ou de conteúdo extraído de RAR, e a presença de processos filhos anômalos iniciados por leitores de PDF, navegadores ou interpretadores de script são sinais mais próximos do início da cadeia. A campanha também demonstra continuidade tática: em 2023 o grupo explorou CVE-2023-38831 no WinRAR para entregar PicassoLoader e Cobalt Strike; em 2025, abusou de CVE-2024-42009 no Roundcube para executar JavaScript e capturar credenciais de e-mail.
A superfície imediata envolve usuários de organizações governamentais ucranianas que recebem anexos PDF e têm permissão para abrir links externos, baixar arquivos compactados e executar scripts presentes nesses arquivos. Ambientes com filtragem fraca de conteúdo ativo, bloqueio insuficiente de interpretes de script e baixa visibilidade sobre extração de RAR ficam mais expostos. A campanha não depende de uma vulnerabilidade pública nova na fase descrita; ela depende da interação do usuário, da confiança no tema da isca e da capacidade do endpoint de executar o JavaScript entregue após a validação geográfica.
A seleção de vítimas indica foco operacional em instituições governamentais, militares e do setor de defesa na Ucrânia. Em Polônia e Lituânia, a atividade atribuída ao mesmo conjunto de rastreamentos também atingiu setores industrial, manufatureiro, farmacêutico, de saúde, logística e governo, o que mostra que a infraestrutura e os temas de isca variam conforme a região. O histórico de abuso de contas de e-mail comprometidas também amplia a superfície: credenciais capturadas em webmail podem permitir leitura de caixas postais, download de listas de contatos e envio de novas mensagens de phishing a partir de contas legítimas, elevando a taxa de confiança das próximas ondas.
Organizações que usam leitores de PDF integrados ao navegador, clientes de e-mail que permitem clique direto em links externos e políticas permissivas para arquivos compactados devem tratar a campanha como risco de execução encadeada, não como simples phishing de credencial. O ponto crítico é a transição entre documento, link, RAR e JavaScript. Cada etapa gera telemetria distinta e, se monitorada de forma isolada, pode parecer insuficiente para alerta de alta severidade. A correlação entre esses eventos em uma janela curta é essencial para distinguir atividade legítima de abertura de documentos de uma cadeia de comprometimento direcionada.
- Usuários de órgãos governamentais, militares e de defesa na Ucrânia que receberam PDFs com tema Ukrtelecom.
- Endpoints que permitem extração de RAR e execução de JavaScript a partir de diretórios de usuário, temporários ou áreas de download.
- Gateways de e-mail e proxies que não reescrevem, inspecionam ou bloqueiam URLs externas dentro de documentos PDF.
- Contas de e-mail institucionais com histórico de comprometimento, pois podem ser usadas para ampliar campanhas de spear phishing.
A caça deve começar pela linha do tempo do usuário: recebimento de e-mail com PDF, abertura do anexo, clique em URL externa, download de RAR, extração e execução de JavaScript. Em EDR, eventos relevantes incluem leitores de PDF ou navegadores criando arquivos compactados, interpretadores de script iniciados a partir de pastas de download, e processos que estabelecem conexões logo após a abertura da isca. Como o servidor aplica georrestrição e validação, o mesmo link pode não reproduzir o ataque em laboratório fora da Ucrânia; por isso, a análise deve preservar metadados da requisição original, cabeçalhos, endereço IP de saída, agente de usuário e horário exato do acesso.
No tráfego de rede, o comportamento de perfilamento do PicassoLoader deve aparecer como comunicações recorrentes em intervalo aproximado de 10 minutos para infraestrutura externa. Não há domínio, hash ou endereço IP confirmado no contexto, então a detecção deve privilegiar padrões comportamentais: beaconing periódico após execução de JavaScript, transferência de dados de inventário do host e posterior mudança de padrão caso Cobalt Strike Beacon seja liberado. Controles de proxy e DNS devem ser consultados em conjunto com logs de endpoint, porque a entrega condicional pode impedir que ferramentas automatizadas recuperem a carga completa em uma segunda tentativa.
Em identidade e e-mail, os sinais de risco incluem contas que enviam mensagens a contatos internos logo após autenticações anômalas, download incomum de listas de contato e leitura em massa de mensagens. Esse padrão foi observado em operações anteriores associadas ao ator após captura de credenciais, e continua relevante para conter propagação mesmo quando a cadeia atual enfatiza payloads. Para equipes de DFIR, a ausência de IoCs públicos específicos exige preservação de artefatos locais: PDF original, RAR baixado, script extraído, árvore de processos, cache do navegador, histórico de downloads, logs de proxy e cópias dos e-mails recebidos.
- PDF recebido por e-mail contendo URL externa e tema relacionado à Ukrtelecom.
- Download de arquivo RAR iniciado a partir de link aberto em PDF, especialmente em usuários de órgãos públicos ucranianos.
- Execução de JavaScript a partir de pasta de downloads, diretório temporário ou caminho recém-extraído de arquivo compactado.
- Comunicação externa periódica em intervalo próximo de 10 minutos após execução do script ou do downloader.
- Processos compatíveis com leitores de PDF, navegador,
wscript.exe,cscript.exeou outros interpretes criando conexões inesperadas. - Indícios posteriores de
Cobalt Strike Beacon, como beaconing regular, injeção em processos e comunicação de comando e controle, quando houver telemetria suficiente.
A resposta inicial deve interromper a cadeia nos pontos mais fáceis de controlar: URLs dentro de PDFs, arquivos RAR provenientes de e-mail e execução de JavaScript pelo usuário. Gateways de e-mail devem aplicar inspeção de anexos PDF, extração e análise de links, bloqueio de arquivos compactados aninhados quando não houver necessidade de negócio e políticas de reescrita de URL com detonação em ambiente que simule melhor a região e o perfil do usuário. Em endpoints, a execução de scripts de diretórios graváveis pelo usuário deve ser restrita por política, e associações de arquivo devem evitar que JavaScript extraído seja executado com duplo clique.
Para ambientes já expostos, a contenção precisa considerar que o host pode ter sido apenas perfilado antes da entrega de Cobalt Strike Beacon. Sistemas que abriram a isca ou baixaram o RAR devem ser isolados para coleta de evidências, mesmo sem alerta de pós-exploração. A análise deve recuperar o PDF, o RAR, o script, histórico de navegação, artefatos de execução e conexões externas no período posterior ao clique. Quando houver sinais de credenciais acessadas ou de conta de e-mail abusada, a rotação de senha, invalidação de sessões, revisão de regras de encaminhamento e análise de mensagens enviadas são medidas necessárias para conter propagação.
A mitigação de médio prazo deve reduzir dependência de bloqueio por hash ou domínio. A campanha usa validação no servidor, entrega seletiva e decisão manual do operador, o que torna IoCs efêmeros menos confiáveis. Regras comportamentais para documentos que acionam downloads, RAR que contém scripts, scripts que fazem inventário do host e beaconing periódico oferecem cobertura mais estável. A organização também deve revisar permissões de egressão, registrar cabeçalhos HTTP relevantes, manter logs de proxy por tempo suficiente para investigação e correlacionar eventos de e-mail, endpoint e rede em uma mesma linha do tempo operacional.
- Bloquear ou submeter a análise reforçada PDFs com links externos recebidos de remetentes não verificados ou contas governamentais comprometidas.
- Restringir execução de
*.js,*.jse,*.vbse outros scripts em diretórios de usuário, downloads e caminhos temporários. - Criar regras para RAR contendo scripts, especialmente quando o arquivo foi baixado após clique em PDF.
- Isolar endpoints que executaram o payload ou apresentaram comunicação periódica compatível com perfilamento.
- Revisar contas de e-mail afetadas, invalidar sessões ativas, remover regras suspeitas e verificar mensagens enviadas a contatos internos.
- Monitorar sinais de
Cobalt Strike Beaconsem depender apenas da presença confirmada do beacon, pois a decisão de entrega pode ser manual e posterior ao perfilamento.
0 Comentários