El grupo Ghostwriter (también rastreado como UAC-0057 y UNC1151), vinculado con Bielorrusia, está llevando a cabo una campaña de phishing contra organismos estatales de Ucrania utilizando como señuelo la temática de la plataforma educativa ucraniana Prometheus. Según datos de CERT-UA, los atacantes envían correos de phishing desde cuentas comprometidas, y la cadena de infección incluye una nueva familia de malware con los componentes OYSTERFRESH, OYSTERBLUES y OYSTERSHUCK, cuya finalidad última es el despliegue del framework Cobalt Strike. Según se informa, la campaña está activa desde la primavera de 2026, y se recomienda a las organizaciones del sector público de Ucrania restringir de inmediato la ejecución de wscript.exe para los usuarios estándar.

Cadena de infección: del PDF a Cobalt Strike

De acuerdo con el informe de CERT-UA, un ataque típico comienza con un correo de phishing enviado desde una cuenta comprometida. El mensaje contiene un archivo PDF adjunto con un enlace que, al pulsarlo, descarga un archivo ZIP con un fichero JavaScript.

El archivo JavaScript malicioso, denominado OYSTERFRESH, ejecuta varias tareas en paralelo:

• Muestra un documento señuelo para distraer la atención del usuario
• Escribe la carga útil ofuscada y cifrada OYSTERBLUES en el registro de Windows
• Descarga y ejecuta el componente OYSTERSHUCK, responsable de descifrar OYSTERBLUES

Tras su activación, OYSTERBLUES recopila información del sistema: nombre del equipo, cuenta de usuario, versión del sistema operativo, hora del último arranque del sistema y lista de procesos en ejecución. Los datos recopilados se envían al servidor de mando y control (C2) mediante una solicitud HTTP POST.

A continuación, el malware espera una respuesta del C2 que contiene el código JavaScript de la siguiente fase, el cual se ejecuta a través de la función eval(). Según la evaluación de CERT-UA, la carga útil final es Cobalt Strike, un framework diseñado originalmente para pruebas de penetración, pero ampliamente utilizado por los atacantes para realizar acciones de post-explotación.

Perfil del grupo y contexto de la amenaza

Ghostwriter es un grupo que los investigadores vinculan con Bielorrusia. Se dirige de forma sistemática a estructuras estatales ucranianas, y el uso de cuentas de correo comprometidas para enviar phishing coincide con tácticas anteriormente observadas en este grupo. La elección de la plataforma educativa Prometheus como señuelo apunta a un enfoque dirigido: la temática de la formación en línea genera confianza entre los empleados de organismos públicos, que pueden utilizar este tipo de plataformas para su desarrollo profesional.

Resulta destacable la arquitectura del malware: la separación de funciones entre tres componentes (loader, carga útil cifrada en el registro y descifrador) dificulta la detección. Almacenar OYSTERBLUES en el registro de Windows, en lugar de en el sistema de archivos, permite eludir varias soluciones de seguridad centradas en el análisis de ficheros.

Contexto más amplio: la IA en el arsenal de los atacantes

Paralelamente a la divulgación de la campaña de Ghostwriter, el Consejo de Seguridad y Defensa Nacional de Ucrania publicó un informe en el que, según la información disponible, se señala el uso por parte de grupos rusos de herramientas de inteligencia artificial —en particular, OpenAI ChatGPT y Google Gemini— para la recopilación de información sobre objetivos y la integración de tecnologías de IA en el malware, a fin de generar comandos en tiempo de ejecución. Conforme a este documento, los vectores principales de acceso inicial en 2025 fueron la ingeniería social, la explotación de vulnerabilidades, el uso de cuentas RDP y VPN comprometidas, ataques a la cadena de suministro y software sin licencia con backdoors integrados.

Debe tenerse en cuenta que las afirmaciones sobre el uso de IA en ciberataques se basan en un informe gubernamental y no han sido confirmadas por investigaciones técnicas independientes.

Evaluación del impacto

El principal público objetivo del ataque son las organizaciones estatales de Ucrania. El despliegue de Cobalt Strike como carga útil final indica que los atacantes buscan un posicionamiento a largo plazo en la red, con capacidad de movimiento lateral, exfiltración de datos y ampliación posterior del acceso. El uso de cuentas de correo comprometidas aumenta la eficacia del phishing, ya que los mensajes proceden de remitentes de confianza.

Recomendaciones de protección

CERT-UA recomienda las siguientes medidas para reducir el riesgo:

• Restringir la ejecución de wscript.exe para las cuentas de usuario estándar: se trata de una recomendación directa de CERT-UA que bloquea un elemento clave de la cadena de infección
• Configurar políticas de restricción de ejecución de scripts (Software Restriction Policies o AppLocker) para bloquear la ejecución de archivos JavaScript desde directorios temporales y carpetas de usuario
• Reforzar la monitorización de entradas en el registro de Windows: la detección de grandes volúmenes de datos ofuscados en claves de registro atípicas puede indicar actividad de OYSTERBLUES
• Comprobar los sistemas de correo en busca de signos de compromiso de cuentas, en especial las que tengan acceso a listas de distribución de organismos públicos
• Bloquear la descarga de archivos ZIP desde enlaces incluidos en adjuntos PDF a nivel de correo gateway o servidor proxy
• Supervisar solicitudes HTTP POST hacia servidores externos inusuales, que pueden indicar comunicaciones C2

La campaña de Ghostwriter con el uso de la familia OYSTER demuestra un enfoque de infección en múltiples etapas, donde cada componente cumple una función específica que complica su detección. La acción prioritaria para los administradores de redes gubernamentales ucranianas es la restricción inmediata de la ejecución de wscript.exe mediante directivas de grupo para todos los usuarios estándar, así como la auditoría de las cuentas de correo en busca de accesos no autorizados.