Ghostwriter colpisce l’Ucraina: PDF-trappola con geofencing scaricano PicassoLoader e aprono la porta a Cobalt Strike

Il gruppo di minaccia Ghostwriter, allineato alla Bielorussia e attivo almeno dal 2016, è stato collegato a una nuova ondata di attacchi informatici contro organizzazioni governative in Ucraina. La campagna, osservata da marzo 2026, conferma un profilo di cyber spionaggio costante e in continua evoluzione, con tecniche pensate per ridurre la visibilità e colpire solo bersagli ritenuti di alto valore.

Il cuore dell’operazione è un flusso di spear phishing che utilizza documenti PDF malevoli come esca. I PDF includono link che, una volta cliccati, avviano il download di un archivio RAR contenente un payload JavaScript. Per rendere più credibile il contesto, i documenti di richiamo imitano comunicazioni legate a Ukrtelecom, sfruttando un tema plausibile per enti pubblici e strutture critiche.

Un elemento chiave è il geofencing, cioè un controllo basato sulla provenienza dell’indirizzo IP. Se la vittima non risulta in Ucraina, il sistema serve un PDF benigno, limitando l’esposizione della catena di infezione e ostacolando analisi e sandboxing. Quando invece la richiesta supera i controlli, l’archivio RAR rilascia uno script che mostra un documento esca per mantenere l’inganno, mentre in background avvia un downloader associato alla famiglia PicassoLoader in versione JavaScript.

Il downloader non si limita a eseguire codice: è progettato per profilare e fare fingerprint del sistema compromesso, raccogliendo informazioni utili a valutare l’interesse operativo del bersaglio. Questi dati vengono inviati a infrastrutture controllate dagli attaccanti ogni 10 minuti, creando un canale di telemetria che consente agli operatori di decidere manualmente se procedere con lo stadio successivo.

Solo dopo questa validazione lato server, che combina controlli automatici su user agent e IP con una verifica manuale, viene potenzialmente consegnato un ulteriore dropper JavaScript per installare Cobalt Strike Beacon, uno strumento spesso usato per il controllo remoto post-compromissione e per movimenti laterali nelle reti. La vittimologia in Ucraina appare focalizzata su enti governativi, difesa e ambito militare, mentre in altri paesi dell’area come Polonia e Lituania i settori colpiti risultano più ampi.