PhishingHackerangriffeCyberkriminalität

GhostWriter-Gruppe nutzt gefälschte Zertifikate für Spionage gegen ukrainische Behörden

Von CyberDeutsch Redaktion
GhostWriter-Gruppe nutzt gefälschte Zertifikate für Spionage gegen ukrainische Behörden
Zusammenfassung

Die belarussisch-verknüpfte Hackergruppe GhostWriter führt seit Frühjahr 2026 eine koordinierte Spionagekampagne gegen ukrainische Regierungsbeamte durch und nutzt dabei eine perfide Taktik: gefälschte E-Mails, die sich als Mitteilungen der populären Online-Lernplattform Prometheus ausgeben. Diese Phishing-Mails locken Nutzer mit vermeintlichen Kurszertifikaten an und enthalten Malware-Links, die nach dem Anklicken ein schädliches ZIP-Archiv herunterladen. Die Schadsoftware OysterFresh und ihre Komponenten OysterBlues sowie OysterShuck sammeln sensible Systeminformationen der befallenen Geräte und senden diese an von Cloudflare-Servern maskierte Server der Angreifer. Ukraines CERT-UA warnt zusätzlich vor der Möglichkeit nachgelagerter Infektionen mit dem Penetration-Testing-Tool Cobalt Strike, das gezielt für offensive Cyberangriffe missbraucht wird. Die Kampagne zielt strategisch auf ukrainische Regierungsmitarbeiter ab und reiht sich in eine Serie von Spionageoperationen gegen kritische Infrastruktur ein – nur einen Tag zuvor warnte CERT-UA vor ähnlichen Attacken gegen die Delta-Plattform zur militärischen Lagebilderstellung. Für deutsche Behörden und Unternehmen ist die Entwicklung relevant, da solche Techniken auch auf andere NATO-Partner und kritische Institutionen adaptiert werden könnten und zeigt, wie Staatengruppen zunehmend zivile Plattformen als Angriffsvektoren instrumentalisieren.

Die ukrainische Computer Emergency Response Team (CERT-UA) hat die Kampagne öffentlich gemacht und detaillierte technische Indikatoren veröffentlicht. Bei den Phishing-E-Mails handelt es sich um gut durchdachte Social-Engineering-Angriffe: Die Nachrichten enthalten PDF-Anhänge mit bösartigen Links, die ZIP-Archive herunterladen. Diese Archive enthalten die Malware OysterFresh, die wiederum die Komponenten OysterBlues und OysterShuck lädt.

Die Malware-Funktionalität ist typisch für Spionage-Malware: Sie sammelt Systeminformationen wie Computername, Betriebssystem-Version, Benutzerkonten und laufende Prozesse. Diese Daten werden an von Angreifern kontrollierte Server übertragen, die hinter Cloudflare-Infrastruktur verborgen sind. Besonders kritisch ist das Risiko einer nachgelagerten Payload: CERT-UA warnt, dass kompromittierte Systeme später mit Cobalt Strike infiziert werden könnten – einem eigentlich für legitime Penetrationstests gedachten Framework, das aber häufig von Cyberkriminellen und staatlichen Gruppen missbraucht wird.

GhostWriter ist kein unbekannter Akteur. Die Gruppe hat bereits ukrainisches Militärpersonal, polnische Behörden und andere regionale Ziele ins Visier genommen. Sie führt sowohl klassische Credential-Theft-Operationen als auch Desinformationskampagnen durch – ein bewährtes Playbook von Geheimdienst-gestützten Hackergruppen.

Diese Kampagne ist Teil eines größeren Musters: Nur einen Tag vor der GhostWriter-Warnung veröffentlichte CERT-UA eine weitere Spionage-Kampagne. Hier versendeten unbekannte Angreifer Phishing-Mails, die sich als Sicherheitswarnungen ukrainischer Cybersecurity-Behörden ausgaben und vor angeblichem unauthorisiertem Zugriff auf Delta-Accounts warnten – Ukraines Battlefield-Management-System.

Für deutsche Sicherheitsverantwortliche ist die Erkenntnis wichtig: Solche gezielten Kampagnen basieren auf Vertrauensmissbrauch und lokalen Kenntnissen. Das BSI und der BfDI sollten deutsche Behörden sensibilisieren. Unternehmen und Institutionen sollten Mitarbeiter schulen, misstrauisch gegenüber Zertifikat-Angeboten zu sein – besonders von Plattformen, zu denen sie keinen Bezug haben.

Ähnliche Artikel