Sicherheitsforscher des IT-Sicherheitsherstellers ESET haben eine neue Angriffskampagne der Cyberespionage-Gruppe FrostyNeighbor analysiert. Die mutmaßlich Belarus-nahe Hackergruppe attackiert erneut gezielt staatliche Einrichtungen in der Ukraine und entwickelt ihre Werkzeuge sowie Angriffsmethoden kontinuierlich weiter. Ziel der aktuellen Kampagne ist die verdeckte Ausspähung kompromittierter Systeme.
Die seit März 2026 beobachteten Angriffe beginnen mit Spear-Phishing-E-Mails, die präparierte PDF-Dateien enthalten. Diese geben sich unter anderem als Dokumente des ukrainischen Telekommunikationsunternehmens Ukrtelecom aus. Hinter den eingebetteten Download-Links verbirgt sich eine mehrstufige Infektionskette, die abhängig vom Standort des Opfers unterschiedliche Inhalte ausliefert. Systeme außerhalb der Ukraine erhalten harmlose Dateien, während ukrainische Ziele ein manipuliertes RAR-Archiv herunterladen, das die eigentliche Malware startet.
Renitente Schadsoftware unter der Tarnkappe
Im Mittelpunkt der Kampagne steht eine JavaScript-Variante des Downloaders „PicassoLoader“. Die Malware sammelt zunächst umfangreiche Systeminformationen, darunter Benutzername, Rechnername, Betriebssystemversion, laufende Prozesse und Bootzeit. Alle zehn Minuten werden diese Daten an die Infrastruktur der Angreifer übertragen. Erst danach entscheiden die Operatoren offenbar manuell, ob ein Ziel für weitere Schritte interessant genug ist.
Wird ein System als relevant eingestuft, liefert der Command-and-Control-Server (C&C-Server) einen weiteren Schadcode nach, der schließlich einen sogenannten Cobalt-Strike-Beacon (ein spezielles Implantat für verdeckten Fernzugriff und Post-Exploitation-Aktivitäten) installiert. Die Angreifer nutzen dabei Tarnmechanismen und verschleierte Skripte, um Sicherheitslösungen zu umgehen und dauerhaft Zugriff auf kompromittierte Systeme zu behalten.
„FrostyNeighbor zeigt weiterhin ein hohes Maß an technischer Anpassungsfähigkeit. Die aktuelle Kampagne verdeutlicht, wie konsequent die Gruppe ihre Werkzeuge, Loader und Zustellmechanismen weiterentwickelt, um Sicherheitsmaßnahmen zu umgehen und ihre Cyberespionage-Aktivitäten fortzuführen“, sagt Damien Schaeffer, Malware Researcher bei ESET.
Das ist über die Hacker bekannt
FrostyNeighbor, auch unter den Namen Ghostwriter, UNC1151, UAC-0057, TA445 oder Storm-0257 bekannt, soll seit mindestens 2016 aktiv sein. Die Gruppe konzentriert ihre Operationen überwiegend auf Osteuropa. Neben Regierungsbehörden geraten regelmäßig Organisationen aus Verteidigung, Industrie, Gesundheitswesen, Logistik und weiteren kritischen Bereichen ins Visier. Besonders betroffen sind laut ESET die Ukraine, Polen und Litauen.
Die aktuelle Analyse dokumentiert außerdem neue Methoden zur Umgehung von Sicherheitsmechanismen. Dazu gehören serverseitige Opferprüfungen, verschleierte JavaScript-Komponenten sowie der Missbrauch legitimer Dienste und Dateiformate für die Schadcode-Auslieferung. Nach Einschätzung von ESET deutet dies auf eine zunehmende Professionalisierung der Angreifer hin.
Weitere technische Details zur Kampagne sowie Indicators of Compromise (IoCs) veröffentlicht ESET im WeLiveSecurity-Blog:
https://www.welivesecurity.com/de/eset-research/frostyneighbor-neue-tricks-und-digitale-spielchen