De aan Wit-Rusland verbonden dreigingsacteur, bekend als Ghostschrijver (ook bekend als UAC-0057 en UNC1151Oekraïne’s Nationale Veiligheids- en Defensieraad) is waargenomen met behulp van kunstaas gerelateerd aan Prometheus, een Oekraïens online leerplatform, om overheidsorganisaties in het land aan te vallen.
Volgens het Computer Emergency Response Team van Oekraïne (CERT-UA) omvat de activiteit het verzenden van phishing-e-mails naar overheidsinstanties met behulp van gecompromitteerde accounts. Het is actief sinds het voorjaar van 2026.
“Normaal gesproken bevat de e-mail een pdf-bijlage met een link die, wanneer erop wordt geklikt, leidt tot het downloaden van een ZIP-archief met daarin een JavaScript-bestand”, aldus het bureau in een rapport van donderdag.
Het JavaScript-bestand, genaamd OYSTERFRESH, is ontworpen om een lokdocument weer te geven als afleidingsmechanisme, terwijl het heimelijk een versluierde en gecodeerde lading met de naam OYSTERBLUES naar het Windows-register schrijft, en OYSTERSHUCK downloadt en start, dat verantwoordelijk is voor het decoderen van OYSTERBLUES.
OYSTERBLUES is uitgerust om een breed scala aan systeeminformatie te verzamelen, waaronder computernaam, gebruikersaccount, OS-versie, tijdstip van de laatste opstart van het besturingssysteem en een lijst met actieve processen. De verzamelde gegevens worden via een HTTP POST-verzoek naar een command-and-control (C2)-server verzonden.
Vervolgens wacht het op verdere reacties die JavaScript-code van de volgende fase bevatten, die wordt uitgevoerd met behulp van de functie eval(). De uiteindelijke lading wordt geacht Cobalt Strike te zijn, een simulatieraamwerk voor tegenstanders dat op grote schaal wordt misbruikt voor post-exploitatieactiviteiten.
“Om de kans te verkleinen dat deze cyberdreiging wordt uitgebuit, is het raadzaam om bekende basisbenaderingen toe te passen om het aanvalsoppervlak te verkleinen, met name door de mogelijkheid om wscript.exe uit te voeren voor standaardgebruikersaccounts te beperken”, aldus CERT-UA.
De onthulling komt op het moment dat de Nationale Veiligheids- en Defensieraad van Oekraïne het Russische gebruik van kunstmatige intelligentie (AI)-tools zoals OpenAI ChatGPT en Google Gemini onthulde om doelen te verkennen en de technologie in malware in te bedden om tijdens runtime kwaadaardige commando’s te genereren, terwijl door het Kremlin gesteunde hackgroepen werden opgeroepen voor het uitvoeren van cyberaanvallen gericht op het verkrijgen van inlichtingen en het verzekeren van een langdurige aanwezigheid in gecompromitteerde netwerken voor vervolguitbuiting, inclusief om beïnvloedingsoperaties te ondersteunen.
“De belangrijkste factoren voor initiële penetratie in 2025 waren social engineering, exploitatie van kwetsbaarheden, gebruik van gecompromitteerde RDP- en VPN-accounts, aanvallen op toeleveringsketens en het gebruik van software zonder licentie die al ingebouwde achterdeurtjes bevat in de installatiefase”, aldus de Raad. “Aanvallers concentreerden zich op het stelen van gevoelige informatie, het onderscheppen van communicatie en het volgen van de locatie van doelen.”
In een gerelateerde ontwikkeling zijn er details naar voren gekomen over een pro-Kremlin-propagandacampagne die sinds 2024 de accounts van echte Bluesky-gebruikers heeft gekaapt om nepinhoud te posten. Onder de gekaapte accounts waren onder meer journalisten en professoren. De activiteit wordt toegeschreven aan een in Moskou gevestigd bedrijf genaamd Social Design Agency, dat is gekoppeld aan een campagne die bekend staat als Matryoshka. In sommige van deze gevallen heeft Bluesky de stap gezet om de accounts op te schorten totdat de eigenaren een reset uitvoeren.
