في تصعيد جديد للحرب السيبرانية في أوروبا الشرقية، نُسبت إلى مجموعة Ghostwriter – المعروفة أيضًا بأسماء مثل FrostyNeighbor وTA445 وUNC1151 – سلسلة هجمات متقدمة استهدفت مؤسسات حكومية أوكرانية باستخدام تقنيات تصيّد عبر ملفات PDF مزوّرة، مع توظيف أدوات مثل PicassoLoader وCobalt Strike.
خلفية عن المجموعة وأدواتها
منذ عام 2016، ارتبطت Ghostwriter بعمليات تجسس إلكتروني وحملات تأثير إعلامي ضد دول مجاورة، خصوصًا أوكرانيا. وقد استخدمت سابقًا برمجيات خبيثة مثل PicassoLoader لتثبيت أدوات تحكم عن بُعد مثل Cobalt Strike Beacon وnjRAT. كما استغلت ثغرات بارزة مثل CVE-2023-38831 في WinRAR وCVE-2024-42009 في Roundcube، ما مكّنها من سرقة بيانات اعتماد البريد الإلكتروني ونشر رسائل تصيّد إضافية.
آلية الهجوم الأخيرة
منذ مارس 2026، رُصدت حملة جديدة تستهدف كيانات حكومية أوكرانية عبر رسائل بريد تحتوي على ملفات PDF مزيفة تنتحل هوية شركة الاتصالات الأوكرانية Ukrtelecom. هذه الملفات تتضمن روابط تؤدي إلى أرشيفات RAR تحتوي على حمولة JavaScript تُظهر مستندًا خداعيًّا للمستخدم بينما تُطلق في الخلفية PicassoLoader.
اللافت أن الهجوم يعتمد على تقنية التصيّد الجغرافي، حيث يحصل المستخدمون خارج أوكرانيا على ملف PDF عادي غير ضار، بينما يتم تسليم الحمولة الخبيثة فقط للمستخدمين ذوي عناوين IP أوكرانية. بعد ذلك، يقوم PicassoLoader بجمع بصمات النظام وإرسالها إلى خوادم المهاجمين كل عشر دقائق، ليقرروا يدويًا ما إذا كان الهدف يستحق إرسال المرحلة الثالثة من الهجوم عبر Cobalt Strike Beacon.
الضحايا والقطاعات المستهدفة
تركز النشاط الأخير على المؤسسات العسكرية والجهات الحكومية في أوكرانيا، بينما اتسع نطاق الاستهداف في بولندا وليتوانيا ليشمل قطاعات صناعية وصحية ولوجستية. هذا التنوع يعكس قدرة المجموعة على تكييف أدواتها وتطوير سلاسل إصابة جديدة لتفادي الكشف.
مشهد أوسع للهجمات في المنطقة
لا تقتصر التهديدات على Ghostwriter وحدها؛ فقد رُبطت مجموعة Gamaredon الروسية بحملة تصيّد منذ سبتمبر 2025 تستهدف مؤسسات الدولة الأوكرانية عبر برمجيات GammaDrop وGammaLoad.
في المقابل، شنّت مجموعة هاكتيفية موالية لأوكرانيا تُعرف باسم BO Team هجمات ضد مؤسسات روسية باستخدام أدوات مثل BrockenDoor وZeronetKit، إضافة إلى باب خلفي جديد مكتوب بلغة Go يُسمى ZeroSSH.
كما استهدفت مجموعة Hive0117 الروسية أكثر من 3,000 مؤسسة بين فبراير ومارس 2026، حيث سرقت أكثر من 14 مليون روبل عبر حملات تصيّد موجهة لموظفي الحسابات، متنكرة في شكل تحويلات رواتب.
