Die Gruppierung Ghostwriter (auch verfolgt als UAC-0057 und UNC1151), die mit Belarus in Verbindung gebracht wird, führt eine Phishing-Kampagne gegen ukrainische staatliche Organisationen durch und nutzt dabei als Köder das Thema der ukrainischen Bildungsplattform Prometheus. Laut CERT-UA versenden die Angreifer Phishing-E-Mails von kompromittierten Konten, und die Infektionskette umfasst eine neue Malware-Familie mit den Komponenten OYSTERFRESH, OYSTERBLUES und OYSTERSHUCK, deren Endziel die Bereitstellung des Frameworks Cobalt Strike ist. Die Kampagne ist den Berichten zufolge seit dem Frühjahr 2026 aktiv, und Einrichtungen des ukrainischen öffentlichen Sektors wird empfohlen, die Ausführung von wscript.exe für Standardbenutzer umgehend einzuschränken.

Infektionskette: von PDF zu Cobalt Strike

Dem Bericht von CERT-UA zufolge beginnt ein typischer Angriff mit einer Phishing-E-Mail, die von einem kompromittierten Konto gesendet wird. Die E-Mail enthält einen PDF-Anhang mit einem Link, über den ein ZIP-Archiv mit einer JavaScript-Datei heruntergeladen wird.

Die bösartige JavaScript-Datei mit der Bezeichnung OYSTERFRESH führt mehrere Aufgaben parallel aus:

• Sie zeigt ein Köderdokument an, um die Aufmerksamkeit des Benutzers zu binden
• Sie schreibt die verschleierte und verschlüsselte Nutzlast OYSTERBLUES in die Windows-Registrierungsdatenbank
• Sie lädt die Komponente OYSTERSHUCK herunter und startet sie; diese ist für die Entschlüsselung von OYSTERBLUES zuständig

Nach der Aktivierung sammelt OYSTERBLUES Systeminformationen: Computername, Benutzerkonto, Betriebssystemversion, Zeitpunkt des letzten Systemstarts und eine Liste der laufenden Prozesse. Die gesammelten Daten werden per HTTP-POST-Anfrage an den Command-and-Control-Server (C2) übertragen.

Anschließend wartet die Malware auf eine Antwort des C2, die JavaScript-Code für die nächste Stufe enthält, der über die Funktion eval() ausgeführt wird. Nach Einschätzung von CERT-UA ist die finale Nutzlast Cobalt Strike – ein ursprünglich für Penetrationstests vorgesehenes Framework, das jedoch von Angreifern weitverbreitet für Post-Exploitation-Aktivitäten eingesetzt wird.

Profil der Gruppierung und Bedrohungskontext

Ghostwriter ist eine Gruppierung, die von Forschern mit Belarus in Verbindung gebracht wird. Sie nimmt systematisch ukrainische staatliche Strukturen ins Visier, und der Einsatz kompromittierter E-Mail-Konten zum Versand von Phishing entspricht den bereits zuvor beobachteten Taktiken dieser Gruppe. Die Wahl der Bildungsplattform Prometheus als Köder deutet auf ein gezieltes Vorgehen hin: Das Thema Online-Lernen genießt bei Mitarbeitern staatlicher Organisationen Vertrauen, da solche Plattformen häufig für Fort- und Weiterbildungen genutzt werden.

Bemerkenswert ist die Architektur der Malware: Die Aufteilung der Funktionen auf drei Komponenten (Loader, verschlüsselte Nutzlast in der Registry, Entschlüsseler) erschwert die Erkennung. Die Speicherung von OYSTERBLUES in der Windows-Registry statt im Dateisystem ermöglicht es, eine Reihe von Schutzmaßnahmen zu umgehen, die auf die Analyse von Dateien ausgerichtet sind.

Breiterer Kontext: KI im Arsenal der Angreifer

Parallel zur Offenlegung der Ghostwriter-Kampagne hat der Nationale Sicherheits- und Verteidigungsrat der Ukraine in einem Bericht veröffentlicht, in dem nach vorliegenden Erkenntnissen auf den Einsatz von Werkzeugen der künstlichen Intelligenz durch russische Gruppierungen hingewiesen wird – insbesondere OpenAI ChatGPT und Google Gemini – sowohl für die Aufklärung von Zielen als auch für die Integration von KI-Technologien in Malware zur Generierung von Befehlen zur Laufzeit. Dem Dokument zufolge waren die wichtigsten Vektoren der anfänglichen Kompromittierung im Jahr 2025 Social Engineering, Ausnutzung von Schwachstellen, die Verwendung kompromittierter RDP- und VPN-Konten, Angriffe auf Lieferketten sowie der Einsatz unlizensierter Software mit eingebetteten Backdoors.

Es ist zu berücksichtigen, dass die Aussagen über den Einsatz von KI in Cyberangriffen auf einem Regierungsbericht basieren und nicht durch unabhängige technische Untersuchungen bestätigt sind.

Auswirkungsanalyse

Hauptziel der Angriffe sind staatliche Organisationen der Ukraine. Die Bereitstellung von Cobalt Strike als finale Nutzlast legt nahe, dass die Angreifer auf eine langfristige Präsenz im Netzwerk aus sind, einschließlich der Möglichkeit zur lateralen Bewegung, zur Datenexfiltration und zur weiteren Ausweitung ihres Zugriffs. Die Nutzung kompromittierter E-Mail-Konten erhöht die Wirksamkeit des Phishings, da die Nachrichten von vertrauenswürdigen Absendern zu kommen scheinen.

Empfehlungen zum Schutz

CERT-UA empfiehlt folgende Maßnahmen zur Risikominimierung:

• Einschränkung der Ausführung von wscript.exe für Standardbenutzerkonten – dies ist eine direkte Empfehlung von CERT-UA und blockiert ein zentrales Element der Infektionskette
• Konfiguration von Richtlinien zur Einschränkung der Skriptausführung (Software Restriction Policies oder AppLocker), um die Ausführung von JavaScript-Dateien aus temporären Verzeichnissen und Benutzerordnern zu blockieren
• Verstärkter Monitor­ing von Einträgen in der Windows-Registry – das Erkennen großer, verschleierter Datenmengen in untypischen Registrierungsschlüsseln kann auf die Aktivität von OYSTERBLUES hinweisen
• Überprüfung der E-Mail-Systeme auf Anzeichen kompromittierter Konten, insbesondere solcher mit Zugang zu Verteilerlisten für staatliche Organisationen
• Blockieren des Downloads von ZIP-Archiven über Links in PDF-Anhängen auf Ebene des Mail-Gateways oder Proxy-Servers
• Überwachung von HTTP-POST-Anfragen an untypische externe Server, die auf C2-Kommunikation hindeuten können

Die Ghostwriter-Kampagne mit der OYSTER-Familie zeigt einen mehrstufigen Infektionsansatz, bei dem jede Komponente eine eng umrissene Funktion erfüllt und so die Erkennung erschwert. Vorrangige Maßnahme für Administratoren ukrainischer staatlicher Netze ist die umgehende Einschränkung der Ausführung von wscript.exe für alle Standardbenutzer über Gruppenrichtlinien sowie ein Audit der E-Mail-Konten auf unbefugte Zugriffe.