Thought Leadership
Die Hackergruppe Ghostwriter attackiert Behörden in der Ukraine mit Geofencing, um unentdeckt Cobalt Strike in Regierungsnetzwerken zu installieren.
Die als Ghostwriter bekannte und Belarus zugerechnete Bedrohungsgruppe hat eine neue Welle von Cyberangriffen auf Regierungsorganisationen in der Ukraine gestartet. Laut einem aktuellen Bericht des Sicherheitsunternehmens ESET nutzt die Gruppe, die auch unter Namen wie FrostyNeighbor, UNC1151 oder UAC-0057 geführt wird, fortschrittliche Techniken wie Geofencing und manuelle Validierung, um Sicherheitsmechanismen zu umgehen. Die seit mindestens 2016 aktive Gruppierung kombiniert dabei klassische Cyberspionage mit Einflussoperationen in Osteuropa. Die neuesten Aktivitäten wurden seit März 2026 beobachtet und markieren eine Eskalation in der Nutzung spezialisierter Malware-Infrastrukturen.
Geofencing nutzt PDF-Dateien als Köder
Der aktuelle Angriffsvektor basiert auf Spear-Phishing-E-Mails, die schädliche PDF-Dateien im Anhang enthalten. Diese Dokumente tarnen sich als offizielle Mitteilungen des ukrainischen Telekommunikationsunternehmens Ukrtelecom. Ein markantes Merkmal dieser Kampagne ist der Einsatz von Geofencing. Wenn ein potenzielles Opfer auf den eingebetteten Link im PDF klickt, prüft der Server des Angreifers die IP-Adresse des Anfragenden. Befindet sich die IP-Adresse nicht in der Ukraine, wird lediglich ein harmloses PDF-Dokument ausgeliefert, um Sicherheitsforscher und automatisierte Analyse-Systeme in die Irre zu führen.
Erfolgt der Zugriff jedoch von einer ukrainischen IP-Adresse, wird ein RAR-Archiv heruntergeladen. Dieses Archiv enthält eine JavaScript-Datei, die beim Ausführen ein Köder-Dokument anzeigt, um den Nutzer in Sicherheit zu wiegen, während im Hintergrund die Infektionskette gestartet wird. Diese Methode dient dazu, die Angriffe räumlich streng auf das Zielgebiet zu begrenzen und die Entdeckungswahrscheinlichkeit durch globale Sicherheitsdienste zu minimieren.
Hacker entscheiden manuell über Angriff auf Ukraine
Kern der Infektion ist eine JavaScript-Version des sogenannten PicassoLoaders. Nach der Ausführung beginnt dieser Downloader mit dem Fingerprinting des kompromittierten Systems. Dabei werden detaillierte Informationen über die Hardware-Konfiguration, installierte Software und Netzwerkeinstellungen gesammelt. Diese Daten werden in Intervallen von zehn Minuten an die von den Angreifern kontrollierte Infrastruktur (Command-and-Control-Server) übermittelt.
Eine Besonderheit im operativen Vorgehen von Ghostwriter ist die manuelle Validierung. Die Hacker entscheiden auf Basis der übermittelten Fingerprinting-Daten individuell, ob ein Ziel lohnenswert genug ist, um die finale Phase des Angriffs einzuleiten. Erst nach dieser manuellen Freigabe wird ein JavaScript-Dropper nachgeladen, der schließlich Cobalt Strike Beacon auf dem System installiert. Cobalt Strike ist ein legitimes Sicherheitswerkzeug für Penetrationstests, das in den Händen von Angreifern jedoch zur Fernsteuerung von Rechnern und zum Diebstahl sensibler Daten genutzt wird.
Ghostwriter nutzen CAPTCHA-Prüfungen
Ghostwriter hat sein Arsenal in den vergangenen Jahren stetig erweitert. Ende 2023 nutzte die Gruppe eine Schwachstelle in WinRAR (CVE-2023-38831), um PicassoLoader und njRAT zu verbreiten. Im Jahr 2025 wurden polnische Organisationen Ziel einer Kampagne, die eine Cross-Site-Scripting-Lücke in dem Webmailer Roundcube (CVE-2024-42009) ausnutzte. Dabei wurden Anmeldedaten für E-Mail-Konten gestohlen, die anschließend zur Analyse von Postfachinhalten und zum Versenden weiterer Phishing-Nachrichten missbraucht wurden.
Gegen Ende des Jahres 2025 integrierte die Gruppe zudem Anti-Analyse-Techniken wie dynamische CAPTCHA-Prüfungen in ihre Dokumente. Diese Maßnahmen erschweren es automatisierten Sandbox-Systemen, den bösartigen Code innerhalb der Dokumente zu triggern. Laut ESET-Forscher Damien Schaeffer zeigt diese Entwicklung eine hohe operative Reife und die Fähigkeit der Gruppe, ihre Methoden kontinuierlich an neue Abwehrmechanismen anzupassen.
Ausdehnung auf Polen und Litauen
Während die Angriffe in der Ukraine primär auf den Militär- und Verteidigungssektor sowie Regierungsstellen konzentriert sind, ist das Zielspektrum in Nachbarländern breiter gefächert. In Polen und Litauen wurden Attacken auf die Industrie, das Gesundheitswesen, die Pharmabranche sowie Logistikunternehmen registriert. Die Gruppe nutzt dabei länderspezifische Köder-Themen, um die Wahrscheinlichkeit erfolgreicher Infektionen zu erhöhen. In diesen Ländern stehen neben der Spionage häufig auch Einflussoperationen im Vordergrund, die darauf abzielen, das Vertrauen in staatliche Institutionen zu untergraben.
Parallel zu den Ghostwriter-Angriffen bleibt die russisch assoziierte Gruppe Gamaredon in der Ukraine aktiv. Seit September 2025 führt Gamaredon großflächige Spear-Phishing-Kampagnen gegen staatliche Institutionen durch. Dabei kommen RAR-Archive zum Einsatz, die eine Schwachstelle mit der Kennung CVE-2025-8088 ausnutzen, um die Downloader-Familien GammaDrop und GammaLoad zu verbreiten. Sicherheitsanalysten von HarfangLab betonen, dass Gamaredon zwar weniger auf technische Raffinesse, dafür aber auf ein extrem hohes operatives Tempo und eine enorme Skalierung setzt.
Gleichzeitig verzeichnet die pro-ukrainische Hacktivist-Gruppe BO Team (auch Black Owl genannt) Erfolge gegen russische Organisationen. Berichten von Kaspersky zufolge kooperiert BO Team möglicherweise mit der Gruppe Head Mare. Im ersten Quartal 2026 griffen sie etwa 20 russische Unternehmen an und setzten dabei Werkzeuge wie BrockenDoor und ZeronetKit ein. Neu entdeckt wurde zudem ZeroSSH, eine Go-basierte Backdoor, die Befehle über die Windows-Eingabeaufforderung ausführen und reverse SSH-Kanäle etablieren kann.
Finanzielle Motive bei russischen Angriffen
Abseits der politisch motivierten Spionage agiert die Gruppe Hive0117 mit rein finanziellen Absichten. Zwischen Februar und März 2026 attackierte diese Gruppe mehr als 3.000 russische Organisationen, um über 14 Millionen Rubel zu entwenden. Die Angreifer brachen in die Computer von Buchhaltern ein, indem sie Phishing-E-Mails mit gefälschten Rechnungen versendeten. Über diese Computer erlangten sie Zugriff auf Online-Banking-Systeme.
Die Gruppe verschleierte die Diebstähle als Gehaltszahlungen. Sie reichten Zahlungsregister ein, in denen die Kontonummer von sogenannten Finanzagenten (Mules) aufgeführt waren. Wenn die Anti-Fraud-Systeme der Banken diese Transaktionen nicht stoppten, konnten die Angreifer signifikante Beträge von den Firmenkonten abheben. Als primäres Werkzeug diente hierbei der Remote-Access-Trojaner DarkWatchman. Neben Russland wurden auch Nutzer in Litauen, Estland, Belarus und Kasachstan ins Visier genommen.
