Auf den Punkt: Ghostwriter führt seit Frühjahr 2026 Phishing-Kampagnen gegen ukrainische Behörden durch, nutzt Malware-Komponenten OYSTERFRESH, OYSTERBLUES und OYSTERSHUCK, um Cobalt Strike einzuschleusen. Russland setzt AI-Tools für Zielaufklärung ein, währenddessen Pro-Kreml-Gruppen Bluesky-Konten kapern.
Die belarussisch ausgerichtete Bedrohungsgruppe Ghostwriter hat seit Frühjahr 2026 Phishing-Kampagnen gegen ukrainische Regierungsbehörden durchgeführt. Die Angreifer nutzen gefälschte Lures der Lernplattform Prometheus und versenden Phishing-E-Mails über kompromittierte Konten mit schädlichen JavaScript-Dateien.
Die Belarus-ausgerichtete Bedrohungsgruppe Ghostwriter (auch als UAC-0057 und UNC1151 bekannt) führt gezielt Phishing-Kampagnen gegen ukrainische Regierungsorganisationen durch. Das ukrainische Computer Emergency Response Team (CERT-UA) berichtete von einer seit Frühjahr 2026 andauernden Kampagne, bei der Phishing-E-Mails von kompromittierten Konten aus versendet werden.
Die Angriffsmethode folgt einem charakteristischen Muster: Die E-Mails enthalten PDF-Anhänge mit Links, die beim Anklicken zum Download eines ZIP-Archivs mit einer JavaScript-Datei führen. Diese Datei, benannt OYSTERFRESH, zeigt ein täuschendes Dokument an, während im Hintergrund die verschlüsselte Malware OYSTERBLUES in die Windows-Registrierung geschrieben wird.
OYSTERSHUCK dekodiert daraufhin OYSTERBLUES und sammelt umfangreiche Systeminformationen wie Computername, Benutzerkonten, OS-Version und laufende Prozesse. Die Daten werden an einen Command-and-Control-Server übertragen. Der finale Payload wird als Cobalt Strike identifiziert, ein Adversary-Simulation-Framework, das häufig für Post-Exploitation-Aktivitäten missbraucht wird.
Parallel offenbarten Ukraines Nationale Sicherheits- und Verteidigungsrat, dass Russland KI-Tools wie ChatGPT und Google Gemini zur Zielaufklärung und Malware-Entwicklung einsetzt. Als Hauptangriffsvektoren 2025 wurden Social Engineering, Sicherheitslückenausnutzung, kompromittierte RDP- und VPN-Konten, Supply-Chain-Angriffe und unlizenzierte Software identifiziert.
Zusätzlich wurde eine Pro-Kreml-Propaganda-Kampagne aufgedeckt, die seit 2024 echte Bluesky-Nutzerkonten kapern und Falschinformationen verbreiten. Die Aktivität wird der Moskauer Social Design Agency zugeordnet, die mit der Kampagne Matryoshka verknüpft ist.