Маскируясь под "Укртелеком", белорусская кибершпионская ОПГ атаковала правительственные и военные структуры Польши и Украины

В своей последней кампании белорусские хакеры используют уникальную тактику сбора «отпечатков пальцев» компьютерных систем жертв, что позволяет им действовать максимально избирательно и скрытно

внедрять шпионское программное обеспечение в наиболее важные узлы государственной инфраструктуры. Источник: Darkreading

Известная белорусская группа кибершпионажа FrostyNeighbor, также фигурирующая в отчетах специалистов под именами Ghostwriter, UNC1151 и Storm-0257, возобновила активные действия в Восточной Европе.

По данным исследовательской компании ESET, кампания стартовала в марте 2026 года и направлена на шпионаж в интересах Беларуси. Злоумышленники используют продвинутые методы целевого фишинга для доставки вредоносного ПО. Новая волна атак примечательна тем, что хакеры крайне тщательно отсеивают цели, прежде чем запустить основной этап заражения. 

Механизм атаки начинается с документа, который маскируется под сообщение украинского телекоммуникационного провайдера «Укртелеком», обещающее надежную защиту данных.

Внутри содержится ссылка, ведущая на серверы злоумышленников. На этом этапе происходит проверка личности жертвы на стороне сервера. Если пользователь находится не в целевом географическом регионе, ему отправляется обычный файл, не представляющий угрозы.

Однако, если система фиксирует IP-адрес из Украины, на компьютер загружается архив с вредоносным JavaScript-файлом. Этот скрипт активирует загрузчик PicassoLoader, который собирает подробный «идентификатор» системы: имя пользователя, название компьютера, версию операционной системы, список активных процессов и время работы.

На основе полученных данных операторы FrostyNeighbor вручную принимают решение, стоит ли заражать конкретную систему шпионским модулем Cobalt Strike. Если жертва представляет интерес для разведки, атака продолжается; в противном случае соединение обрывается без видимых последствий.

Группировка действует как минимум с 2016 года и ранее была замечена в масштабных кампаниях по дезинформации в Германии и странах Балтии.