Um ator alinhado com a Bielorrússia conhecido publicamente como Ghostwriter — também rastreado como FrostyNeighbor, PUSHCHA, Storm-0257, TA445, Umbral Bison / RepeatingUmbra, UNC1151, entre outros— tem reativado uma série de campanhas dirigidas contra instituições governamentais e de defesa na Ucrânia, segundo análises recentes compartilhadas com meios e vendo labs. Estas operações, ativas de pelo menos 2016, mostram uma evolução constante em métodos e ferramentas: desde o uso de PicassoLoader e Cobalt Strike até artimanhas como a exploração de vulnerabilidades em WinRAR (CVE-2023-38831) e falhas no Roundcube webmail (CVE-2024-42009).
O que distingue este grupo não é apenas a persistência histórica, mas sim a sua maturidade operacional. Os atacantes combinam validações servidor-lado para evitar ativar cargas maliciosas fora do objetivo (geofencing), empregam CAPTCHAs dinâmicos como técnica anti-análise, e selecionam manualmente vítimas de alto valor após coletar pegadas do sistema. O fluxo típico detectado desde março de 2026 usa PDFs señuelo que incluem links para arquivos RAR; esses RAR contêm payloads JavaScript que executam uma versão de PicassoLoader para, em última análise, implantar Cobalt Strike Beacon nos sistemas de interesse.
Além do principal objectivo na Ucrânia, campanhas anteriores e paralelas afectaram a Polónia, a Lituânia e outros países da região, com uma vitimologia mais ampla que abrange sectores industriais, sanitários e logísticos. A estratégia de comprometer contas de e-mail legítimas e usá-las para propagar novas mensagens de phishing agrava o risco: uma única caixa de correio tomada pode tornar-se uma plataforma de compromisso em cadeia, permitindo pesquisas internas, exfiltração de contatos e escalada de acesso.
Essas táticas encaixam num contexto mais amplo onde tanto grupos estatais ou alinhados como atores criminosos e hacktivistas operam com objetivos distintos, mas frequentemente sobreposições: interromper, espionar ou lucrar. Relatórios contemporâneos apontaram campanhas de Gamaredon contra instituições ucranianas, operações de hacktivistas pró-ucranianos contra alvos russos e fraudes financeiras que abusam de contabilidades comprometidas para desviar pagamentos.
Para defensores e responsáveis pela segurança, isso tem várias implicações práticas. Primeiro, a combinação de senheiros convincentes e validações servidor-lado complica a análise tradicional, porque muitas amostras não mostram o payload se forem consultadas de IPs ou user agents fora do alvo. Segundo, a existência de várias etapas (dropper JavaScript → loader → Beacon) requer detecção em vários níveis: análise de anexos e links, instrumentação do navegador/JS, comportamento em endpoint e telemetria de rede persistente.
As recomendações específicas começam por corrigir vetores de exploração conhecidos: aplicar adesivos e mitigações para componentes como WinRAR e Roundcube, rever configurações e atualizar versões sem vulnerabilidades referidas (ver fichas CVE para detalhes técnicos). Para referências oficiais sobre vulnerabilidades citadas consulte as entradas na base de dados nacional de vulnerabilidades: CVE-2023-38831 e CVE-2024-42009.
Em paralelo, reforce a proteção no perímetro e no e-mail: habilite a autenticação multifatorial obrigatória, implemente políticas SPF/DKIM/DMARC com monitorização ativa, desative ou restrinja a execução de código de arquivos comprimidos ou documentos embebidos, e use sandboxing de links e anexos. A instrumentação EDR com detecção de comportamento (por exemplo, processos que iniciam PowerShell/JS desde RAR ou que abrem conexões persistentes a domínios incomuns) aumenta a probabilidade de detecção precoce.
Da rede, monitorize e bloco indicadores IOCs e padrões de beaconing associados a cargas como Cobalt Strike; limite o tráfego saliente a destinos autorizados e aplique segmentação para impedir movimentos laterais. Para organizações que operam no ambiente de defesa e administração pública, considere controlos adicionais como listas brancas de aplicações (application allowlisting) e revisões rigorosas de privilégios e acessos remotos.
Se suspeitar de compromisso, actue com contenção imediata: isole as máquinas afetadas, preserve logs e evidências, mude credenciais comprometidas e faça uma busca de alcance para detectar exfiltrações e contas usadas para pivotar. Coordine a resposta com autoridades nacionais de cibersegurança e provedores de inteligência, e compartilhe TTPs e artefatos para melhorar a detecção coletiva.
A relação entre operações estatais, hacktivismo e crime organizado na região demonstra que a cibersegurança já não é uma questão apenas técnica, mas geopolítica e econômica. Para manter uma postura defensiva eficaz, organizações e fornecedores devem combinar adesivos diligentes, monitoramento em múltiplas camadas e colaboração setorial. Para seguir a cobertura técnica e as análises publicadas sobre essas campanhas, consultar a imprensa especializada e as análises de vendors: The Hacker News e relatórios de pesquisa no ecossistema de segurança como os que publica o ESET WeLiveSecurity.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...