Laut ESET ist Ghostwriter seit Langem ununterbrochen aktiv und passt sein Werkzeugset, seine Kompromittierungsketten und seine Methoden regelmäßig an, um einer Entdeckung zu entgehen – mit Zielen in Osteuropa. Frühere Kampagnen nutzten die Schadprogrammfamilie PicassoLoader, die wiederum Cobalt Strike Beacon und njRAT nachlud. Ende 2023 missbrauchte der Akteur zudem eine WinRAR-Schwachstelle (CVE-2023-38831, CVSS-Wert 7,8), um PicassoLoader und Cobalt Strike auszuspielen.
Im vergangenen Jahr richtete sich eine Phishing-Kampagne der Gruppe gegen polnische Stellen und nutzte eine Cross-Site-Schwachstelle in Roundcube (CVE-2024-42009, CVSS-Wert 9,3), um über bösartiges JavaScript E-Mail-Zugangsdaten abzugreifen. Laut einem Bericht von CERT Polska aus dem Juni 2025 werteten die Angreifer in einigen Fällen die erbeuteten Zugangsdaten aus, durchsuchten Postfächer, luden Kontaktlisten herunter und verbreiteten über die übernommenen Konten weitere Phishing-Nachrichten. Gegen Ende 2025 begann die Gruppe, dynamische CAPTCHA-Prüfungen in ihre Köderdokumente einzubauen, um Analysen zu erschweren.
Die aktuelle Infektionskette beginnt mit Links in bösartigen PDFs, die per Spear-Phishing an ukrainische Behörden verschickt werden und am Ende eine JavaScript-Version von PicassoLoader zum Nachladen von Cobalt Strike ausliefern. Der eingebettete Link liefert ein RAR-Archiv mit einer JavaScript-Nutzlast: Sie zeigt ein Köderdokument an, um die Tarnung aufrechtzuerhalten, und startet im Hintergrund PicassoLoader.
Der Downloader erstellt zudem ein Profil des kompromittierten Systems. Der Fingerabdruck wird alle zehn Minuten an die Infrastruktur der Angreifer übertragen, damit diese einschätzen können, ob ein Opfer von Interesse ist; je nach Ergebnis entscheiden die Betreiber manuell, ob sie einen dritten JavaScript-Dropper für Cobalt Strike Beacon nachsenden. Laut ESET wird die Nutzlast erst nach serverseitiger Prüfung des Opfers ausgeliefert, die automatische Kontrollen von User-Agent und IP-Adresse mit einer manuellen Freigabe durch die Betreiber kombiniert.
Während sich die Angriffe in der Ukraine vor allem auf Militär, Verteidigungssektor und Behörden konzentrieren, ist die Opferauswahl in Polen und Litauen deutlich breiter und umfasst Industrie und Fertigung, Gesundheits- und Pharmabranche, Logistik sowie staatliche Stellen.
Parallel meldet HarfangLab, dass die Russland-nahe Gruppe Gamaredon seit September 2025 ukrainische Staatseinrichtungen per Spear-Phishing angreift und über RAR-Archive die Downloader GammaDrop und GammaLoad ausliefert, wobei CVE-2025-8088 ausgenutzt wird. Die Stärke der Gruppe liege weniger in technischer Raffinesse als in ihrem unermüdlichen operativen Tempo und ihrer Reichweite.
Kaspersky berichtet zudem, dass die pro-ukrainische Hacktivisten-Gruppe BO Team (auch Black Owl) bei Angriffen auf russische Organisationen möglicherweise mit Head Mare (auch PhantomCore) zusammenarbeitet; dafür sprächen überschneidende Infrastruktur und Werkzeuge. BO Team setzte 2026 per Spear-Phishing die Schadprogramme BrockenDoor und ZeronetKit ein – Letzteres kann auch Linux-Systeme kompromittieren. Beobachtet wurde dabei eine bislang undokumentierte, in Go geschriebene Backdoor namens ZeroSSH, die Befehle über „cmd.exe" ausführt und einen umgekehrten SSH-Kanal aufbaut. Im ersten Quartal 2026 zielte BO Team laut Kaspersky auf bis zu 20 Organisationen.
Nach Angaben von F6 griff außerdem die finanziell motivierte Gruppe Hive0117 russische Unternehmen an und erbeutete über 14 Millionen Rubel, indem sie sich per Phishing Zugang zu Rechnern von Buchhaltern verschaffte und Überweisungen als Gehaltszahlungen tarnte. Zwischen Februar und März 2026 gingen die Phishing-Mails an mehr als 3.000 russische Organisationen; betroffen waren auch Nutzer in Litauen, Estland, Belarus und Kasachstan. Über rechnungsbezogene Köder verteilten die Angreifer RAR-Archive zur Auslieferung des Fernzugriffstrojaners DarkWatchman und leiteten über kompromittierte Online-Banking-Zugänge Zahlungen auf die Konten von Finanzagenten weiter.