“幽灵写手” 利用地理围栏 PDF 钓鱼和 “钴蓝突击” 瞄准乌克兰政府

与白俄罗斯有关联的威胁组织 “幽灵写手”（Ghostwriter）被指发起了一系列针对乌克兰政府组织的新攻击。

“幽灵写手” 至少自 2016 年起就十分活跃，与针对邻国，尤其是乌克兰的网络间谍活动和影响力行动有关。它还有多个别称，包括 “冷峻邻居”（FrostyNeighbor）、“普什查”（PUSHCHA）、“风暴 - 0257”（Storm - 0257）、“TA445”、“UAC - 0057”、“暗影野牛”（Umbral Bison，原 “重复暗影” RepeatingUmbra）、“UNC1151” 以及 “白猞猁”（White Lynx）。

ESET 在与 The Hacker News 分享的一份报告中称：“‘冷峻邻居’一直在持续开展网络行动，定期更改和更新其工具集，更新其入侵链条和方法以逃避检测，目标指向东欧的受害者。”

该黑客组织此前的攻击利用了名为 “毕加索加载器”（PicassoLoader）的恶意软件家族，该软件随后成为植入 “钴蓝突击信标”（Cobalt Strike Beacon）和 “njRAT” 的渠道。2023 年末，还观察到该威胁行为者利用 WinRAR 中的一个漏洞（CVE - 2023 - 38831，CVSS 评分：7.8）来部署 “毕加索加载器” 和 “钴蓝突击”。

就在去年，波兰的一些实体成为了 “幽灵写手” 精心策划的网络钓鱼活动的目标。该活动利用了 Roundcube 中的一个跨站漏洞（CVE - 2024 - 42009，CVSS 评分：9.3）来运行恶意 JavaScript 程序，以获取电子邮件登录凭证。

根据 2025 年 6 月波兰计算机应急响应小组（CERT Polska）的一份报告，在至少一些案例中，威胁行为者利用获取的凭证分析邮箱内容、下载联系人列表，并滥用被入侵的账户传播更多网络钓鱼邮件。2025 年底，该组织还开始采用一种反分析技术，诱饵文档依靠动态验证码检查来触发攻击链条。

ESET 研究员达米安・舍费尔（Damien Schaeffer）表示：“‘冷峻邻居’仍然是一个持续存在且适应性强的威胁行为者，通过使用多种诱饵文档、不断演变的诱饵和下载器变体以及新的传播机制，展现出了高度的行动成熟度。我们检测到的这个最新入侵链条，延续了该组织更新和扩充其攻击手段库的意图，试图逃避检测以入侵其目标。”

自 2026 年 3 月以来观察到的最新一系列活动，涉及通过鱼叉式网络钓鱼附件发送恶意 PDF 文件，其中包含链接，目标指向乌克兰政府实体，最终部署 JavaScript 版本的 “毕加索加载器” 以植入 “钴蓝突击”。已发现这些 PDF 诱饵文档冒充乌克兰电信公司 Ukrtelecom。

感染流程包含地理围栏检查，对于 IP 地址不属于乌克兰的受害者，会提供一个良性 PDF 文件。PDF 文档中嵌入的链接用于传递一个 RAR 压缩包，其中包含一个 JavaScript 有效载荷，该载荷会显示一个诱饵文档以维持骗局，同时在后台启动 “毕加索加载器”。

这个下载器还旨在对被入侵主机进行配置文件分析和指纹识别，基于此，操控者可能会手动决定发送用于 “钴蓝突击信标” 的第三阶段 JavaScript 下载器。系统指纹每 10 分钟传输到攻击者控制的基础设施，使威胁行为者能够评估受害者是否具有价值。

这些活动主要集中在乌克兰的军事、国防部门和政府组织，而在波兰和立陶宛，受害者范围更广，涵盖工业与制造业、医疗保健与制药、物流以及政府部门。

ESET 称：“‘冷峻邻居’仍然是一个持续存在且适应性强的威胁行为者，通过使用多种诱饵文档、不断演变的诱饵和下载器变体以及新的传播机制，展现出了高度的行动成熟度。有效载荷仅在服务器端对受害者进行验证后才会交付，将对请求用户代理和 IP 地址的自动检查与操控者的手动验证相结合。”

“伽马雷登” 在对乌攻击中投放 “伽马坠” 和 “伽马载”

与此同时，自 2025 年 9 月起，与俄罗斯有关联的 “伽马雷登”（Gamaredon）黑客组织被指参与了一场针对乌克兰国家机构的鱼叉式网络钓鱼活动，旨在通过利用 CVE - 2025 - 8088 漏洞的 RAR 压缩包投放 “伽马坠”（GammaDrop）和 “伽马载”（GammaLoad）下载器恶意软件。

HarfangLab 表示：“这些邮件 —— 伪造的或从被入侵的政府账户发送 —— 会投递具有持续性的多阶段 VBScript 下载器，该下载器会分析被感染系统的配置文件。这里技术上没有太多新意，但‘伽马雷登’从不依赖复杂技术。该组织的优势在于其持续不断的行动节奏和规模。”

“BO 团队” 和 “Hive0117” 瞄准俄罗斯

此前，卡巴斯基（Kaspersky）发布报告称，亲乌克兰的黑客行动主义组织 “BO 团队”（BO Team，又名 “黑猫头鹰” Black Owl）可能与 “头马”（Head Mare，又名 “幻影核心” PhantomCore）合作，对俄罗斯组织发动攻击，理由是两者的基础设施和工具存在重叠。2026 年，“BO 团队” 策划的攻击采用鱼叉式网络钓鱼方式，投放 “布罗肯之门”（BrockenDoor）和 “零网工具包”（ZeronetKit），后者还能够入侵 Linux 系统。

在这些攻击中还发现了一种此前未记录的基于 Go 语言的后门程序，名为 “零 SSH”（ZeroSSH），它可以使用 “cmd.exe” 执行任意命令，并建立反向 SSH 通道。2026 年第一季度，“BO 团队” 已针对多达 20 个组织发动攻击。

卡巴斯基称：“这些组织之间互动的性质尚不清楚，但记录到的工具和基础设施的交叉至少表明，它们有可能针对俄罗斯组织协调行动。”

近几个月来，俄罗斯企业还成为了一个以经济利益为动机的组织 “Hive0117” 的攻击目标。该组织通过网络钓鱼活动入侵会计人员的计算机，将转账伪装成工资支付，从而窃取了超过 1400 万卢布。据 F6 称，2026 年 2 月至 3 月期间，这些网络钓鱼邮件被发送给了 3000 多家俄罗斯组织。

除俄罗斯外，该活动还针对立陶宛、爱沙尼亚、白俄罗斯和哈萨克斯坦的用户。攻击采用以发票为主题的诱饵，分发包含恶意文件的 RAR 压缩包，以投放该组织的远程访问木马 “黑暗守望者”（DarkWatchman）。

F6 表示：“通过被入侵的会计人员计算机远程访问网上银行系统，他们发起支付，将款项存入注册表中列出的银行账户。此前，这看起来像是工资转账，但注册表中列出的是‘钱骡’的银行账户。如果此类支付交易未通过反欺诈系统，攻击者就能从公司账户中提取大量资金。”