Ghostwriter hat sich als eine der hartnäckigsten Bedrohungsgruppen in Osteuropa etabliert. Seit ihrer Aktivierung mindestens 2016 konzentriert sich die Gruppe auf Cyber-Spionage und Einflussoperationen, wobei die Ukraine im Zentrum ihrer Aktivitäten steht. Die neuesten Angriffe markieren eine Eskalation in Sachen Raffinesse und Anpassungsfähigkeit.
Die aktuelle Angriffskampagne folgt einem bewährten Schema: Die Attacken beginnen mit täuschend echten PDF-Dokumenten, die als Mitteilungen der ukrainischen Telekommunikationsfirma Ukrtelecom getarnt sind. Diese werden als Phishing-Anhänge versendet. Das Besondere: Ein Geofencing-Mechanismus stellt sicher, dass nur Nutzer aus der Ukraine den bösartigen Link in der PDF anklicken können. Wer von außerhalb zugreift, erhält ein harmlose Dokument. Damit erschwert Ghostwriter Sicherheitsforschern erheblich, die Malware-Kette zu analysieren – eine Taktik, die auch deutsche IT-Sicherheitsbehörden aufmerksam beobachten sollten.
Sobald die Falle zugeschnappt ist, lädt die Malware eine RAR-Archive herunter, welche einen JavaScript-Payload enthält. Dieser lässt eine Köder-Dokumentation erscheinen, um die Täuschung aufrechtzuerhalten, während im Hintergrund PicassoLoader aktiviert wird. PicassoLoader ist ein bekanntes Downloader-Werkzeug der Gruppe, das als Basis für Cobalt Strike Beacon dient – eine professionelle Remote-Access-Malware, die Cyberkriminelle für tiefergehende Infiltration nutzen.
Ghost Writer hat das Intrusions-Arsenal weiter verfeinert: PicassoLoader erstellt ein Profil des befallenen Systems und sendet diese Informationen alle zehn Minuten an Attacker-Server. Die Ghostwriter-Operateure entscheiden dann manuell, ob das Opfer wertvoll genug ist für die Bereitstellung der dritten Stufe – Cobalt Strike Beacon. Diese Selektivität reduziert die Erkennungschancen weiter.
Nicht neu, aber effektiv ist der Einsatz von dynamischen CAPTCHA-Checks, die seit Ende 2025 bei Ghostwriter-Kampagnen zum Einsatz kommen. Diese Anti-Analyse-Techniken sollen automatisierte Malware-Sandboxen ausbremsen.
Der ESET-Sicherheitsforscher Damien Schaeffer betont: “FrostyNeighbor zeigt eine hohe operative Reife durch diverse Köder-Dokumente, sich entwickelnde Downloader-Varianten und neue Liefermechanismen.” Die Gruppe demonstriert damit, dass sie kontinuierlich ihre Werkzeuge aktualisiert und ihre Taktiken anpasst.
Das Angriffsopfer-Spektrum unterscheidet sich geografisch: In der Ukraine konzentriert sich Ghostwriter auf Militär-, Verteidigungs- und Regierungsorganisationen. In Polen und Litauen ist das Zielspektrum breiter – Industrie, Gesundheitswesen, Logistik und Behörden. Auch österreichische und deutsche Partner dieser Länder sollten erhöhte Aufmerksamkeit walten lassen.