«Русских хакеров» из FrostyNeighbor обвинили в кибератаках на госучреждения и предприятия Польши, Литвы и Украины

Исследователи ESET обнаружили новую активность группы FrostyNeighbor, известной также как Ghostwriter, UNC1151, UAC-0057, TA445, PUSHCHA и Storm-0257. Кампания нацелена на организации в Восточной Европе, прежде всего на структуры в Украине. Группа использует вредоносные PDF-приманки, проверку жертвы по IP-адресу, JavaScript-версию загрузчика PicassoLoader и финальную доставку Cobalt Strike.

Главная особенность кампании сводится к выборочной выдаче вредоносной нагрузки. Сервер сначала оценивает страну запроса. При жертве вне нужного региона показывается безобидный PDF-документ. При запросе с украинского IP-адреса сервер отдаёт RAR-архив с JavaScript-файлом для запуска дальнейшей цепочки заражения.

Интересно, что сервер атакующих сам решает, кому показать обычный документ, а кому подсунуть вредоносный архив, и это резко снижает шанс обнаружения исследователями.

FrostyNeighbor по данным Mandiant активна как минимум с 2016 года. Большая часть операций связана со странами, граничащими с Беларусью. В разные годы группу связывали с фишинговыми кампаниями, попытками влияния и компрометацией государственных и частных организаций.

По данным ESET, FrostyNeighbor продолжает менять инструменты, обновлять методы доставки и усложнять обход обнаружения. В зоне особого внимания остаются Украина, Польша и Литва. Цели кампании выглядят по странам так:

• украинские государственные структуры
• украинские оборонные и военные организации
• польская промышленность и производство
• польское здравоохранение и фармацевтика
• литовская логистика и госсектор

В арсенале FrostyNeighbor фиксировались разные версии загрузчика PicassoLoader. CERT-UA дала инструменту такое название из-за способа доставки Cobalt Strike Beacon. Загрузчик извлекает маяк из контролируемой злоумышленниками среды и маскирует его под изображение или прячет внутри файлов вроде CSS, JS или SVG. Варианты PicassoLoader были написаны на .NET, PowerShell, JavaScript и C++.

FrostyNeighbor активно использовала документы-приманки в форматах CHM, XLS, PPT и DOC, а также эксплуатировала уязвимость WinRAR CVE-2023-38831. Группа применяла легитимные сервисы для маскировки активности. Slack использовался для доставки вредоносного ПО, а Canarytokens — для отслеживания жертв.

Отдельное направление активности связано с кражей учётных данных. FrostyNeighbor проводила фишинговые кампании против пользователей польских организаций с прицелом на почтовые сервисы Interia Poczta и Onet Poczta. CERT-PL также сообщала об использовании уязвимости XSS CVE-2024-42009 в Roundcube.

Новая активность с марта 2026 года построена вокруг PDF-файлов с вредоносными ссылками. Цепочка заражения начинается с размытого PDF-документа 53_7.03.2026_R.pdf, выдающего себя за сообщение от украинской телекоммуникационной компании «Укртелеком».

Цепочка атаки разворачивается через несколько этапов:

• начальный PDF с кнопкой загрузки документа
• проверка IP-адреса жертвы на сервере атакующих
• выдача безвредного PDF вне украинского региона
• выдача RAR-архива с JavaScript-файлом при совпадении
• запуск второго этапа в виде PicassoLoader

При первом запуске скрипт декодирует и отображает документ-приманку. Затем он перезапускается с флагом —update для перехода к другой части кода. Во время второго выполнения скрипт создаёт файл Update.js в каталоге %AppData%WinDataScope.

Первый этап загружает шаблон запланированной задачи с сервера book-happy.needbinding.icu. Внешне запрос выглядит как обращение к JPG-изображению 1GreenAM.jpg, а сервер фактически возвращает XML-вложение. Инфраструктура управления и контроля скрыта за Cloudflare.

PicassoLoader собирает отпечаток компьютера жертвы. Каждые 10 минут данные отправляются POST-запросом на сервер управления и контроля по адресу book-happy.needbinding.icu/employment/documents-and-resources. В набор сведений попадает несколько параметров устройства:

• имя пользователя и имя компьютера
• версия операционной системы
• время загрузки и текущее время
• список запущенных процессов с их PID
• идентификаторы сеанса работы

При ответе сервера свыше 100 байт полученные данные выполняются через eval. Решение о выдаче следующей нагрузки, вероятно, принимается операторами вручную. При интересе к жертве сервер возвращает JavaScript-дроппер третьего этапа для Cobalt Strike. При отсутствии интереса ответ остаётся пустым.

Финальную нагрузку Cobalt Strike жертве выдают только после ручной оценки оператором, и подобный отбор делает атаку очень избирательной.

Третий этап начинает работу с копирования легитимного rundll32.exe в %ProgramData%ViberPC.exe. Подобный приём, вероятно, нужен для обхода отдельных механизмов защиты. Затем встроенный Cobalt Strike Beacon декодируется из base64 и сохраняется как %ProgramData%ViberPC.dll. Cobalt Strike связывается с сервером управления и контроля nama-belakang.nebao.icu/statistics/discover.txt.

В кампании также фигурируют другие домены управления и контроля. Среди них attachment-storage-asset-static.needbinding.icu, easynewsfromourpointofview.algsat.icu, mickeymousegamesdealer.alexavegas.icu, hinesafar.sardk.icu и bestseller.lavanille.buzz.

С точки зрения MITRE ATT&CK цепочка использует знакомые, но хорошо собранные техники. FrostyNeighbor арендует инфраструктуру, размещает полезную нагрузку, применяет Cobalt Strike и рассылает целевые фишинговые вложения. Для закрепления применяются ключи автозагрузки реестра и папка автозагрузки.

Самая опасная часть кампании кроется в сочетании фильтрации жертв и ручной оценки оператором. Массовая вредоносная рассылка часто быстро попадает в песочницы. Жертве вне нужного региона могут показать безвредный файл, а полноценная цепочка запускается только при совпадении условий.

Ранее сообщалось об атаках на украинские госструктуры и больницы с использованием вредоносного семейства AgingFly. CERT-UA связывала кампанию с группой UAC-0247. Также ранее русскоязычную группу APT28 обвинили в атаках против Украины и стран НАТО с использованием вредоносного набора PRISMEX.

Для защитников кампания даёт несколько практических сигналов:

• PDF без макросов не означает безопасности файла
• ссылка внутри PDF может вести на сервер с разным контентом
• запуск JavaScript-файлов из архивов требует внимания
• появление каталога WinDataScope в %AppData% подозрительно
• использование rundll32.exe из нестандартных путей значимо

Для организаций в зоне риска значимы поведенческие правила. Цепочки FrostyNeighbor меняются, имена файлов могут обновляться, домены будут заменяться. Сама логика остаётся узнаваемой через фишинг, проверку жертвы, загрузчик, сбор отпечатка, ручную оценку и Cobalt Strike.

Эксперты редакции CISOCLUB отмечают, что отчёт ESET показывает постоянную перестройку цепочки заражения группой FrostyNeighbor вместо простой поддержки старых фишинговых кампаний. По мнению редакции, новая схема с PDF-приманкой, географической фильтрацией, JavaScript-версией PicassoLoader и ручной выдачей Cobalt Strike снижает шанс случайного обнаружения и делает атаку более избирательной. Эксперты CISOCLUB заявили, что для организаций в Восточной Европе это напоминание о возможном превращении обычного документа со ссылкой в начало многоэтапной операции кибершпионажа. Подобная избирательность работает лучше массовых рассылок и заставляет защитников работать с поведенческими признаками, а не только с сигнатурами.