- FrostyNeighbor, groupe de cyberespionnage aligné sur les intérêts biélorusses, mène actuellement des campagnes ciblant des organisations gouvernementales ukrainiennes.
- Les recherches d’ESET révèlent une nouvelle campagne active depuis mars 2026, illustrant l’évolution constante des outils et des techniques d’intrusion du groupe.
- Les principales cibles de FrostyNeighbor sont les organisations gouvernementales, militaires et stratégiques en Europe de l’Est.
- Avant de déployer sa charge utile finale, le groupe vérifie et sélectionne ses victimes via un mécanisme de validation côté serveur.
ESET Research a identifié de nouvelles activités du groupe de cyberespionnage FrostyNeighbor, aligné sur les intérêts de la Biélorussie, visant des organisations gouvernementales ukrainiennes. Selon la télémétrie d’ESET, ce groupe mène des opérations cyber offensives continues en faisant régulièrement évoluer ses outils, ses chaînes de compromission et ses techniques d’évasion afin de contourner les mécanismes de détection. Les victimes recensées se situent principalement en Europe de l’Est. L’objectif final de ces attaques demeure l’espionnage.
Depuis mars 2026, ESET a observé une nouvelle campagne attribuée à FrostyNeighbor reposant sur des liens intégrés à des documents PDF malveillants diffusés par le biais d’e-mails de spearphishing. Cette chaîne d’attaque constitue la version la plus récente identifiée à ce jour. Elle s’appuie notamment sur une variante JavaScript de PicassoLoader pour déployer une charge utile Cobalt Strike.
L’attaque débute par un document PDF leurre volontairement flou, usurpant l’identité de l’opérateur ukrainien de télécommunications Ukrtelecom. Le document contient un message affirmant offrir une « protection fiable des données clients » ainsi qu’un bouton de téléchargement renvoyant vers un document hébergé sur un serveur contrôlé par le groupe. Lorsque la victime se connecte depuis une adresse IP ukrainienne, le serveur lui délivre à la place une archive RAR malveillante contenant un fichier JavaScript. Celui-ci dépose et affiche un document PDF servant de leurre tout en lançant simultanément la deuxième étape de l’attaque : une version JavaScript du téléchargeur PicassoLoader.
Une fois exécuté, PicassoLoader procède à la collecte d’informations sur la machine compromise. Il recueille notamment le nom d’utilisateur, le nom de l’ordinateur, la version du système d’exploitation, l’heure de démarrage de la machine, l’heure actuelle ainsi que la liste des processus actifs et leurs identifiants (PID). Ces informations sont transmises au serveur de commande et de contrôle (C&C) toutes les dix minutes. La décision de déployer ou non une charge utile supplémentaire semble être prise manuellement par les opérateurs, en fonction des données collectées permettant d’évaluer l’intérêt de la cible. Lorsqu’une victime est jugée pertinente, le serveur C&C envoie alors un chargeur JavaScript de troisième étape destiné à déployer Cobalt Strike et ses capacités de cyberespionnage.
« FrostyNeighbor demeure un acteur de la menace particulièrement persistant et adaptable. Le groupe fait preuve d’une grande maturité opérationnelle en s’appuyant sur des documents leurres variés, des versions constamment renouvelées de ses outils de téléchargement et de nouvelles méthodes de diffusion. Cette chaîne d’infection récemment détectée illustre sa volonté permanente de moderniser son arsenal afin d’échapper à la détection et de compromettre ses cibles », explique Damien Schaeffer, chercheur chez ESET, à l’origine de la découverte et de l’analyse de cette dernière campagne.
FrostyNeighbor, également connu sous les noms Ghostwriter, UNC1151, UAC-0057, TA445, PUSHCHA ou Storm-0257, serait actif depuis la Biélorussie au moins depuis 2016. La majorité de ses opérations ont visé les pays voisins de la Biélorussie, même si certaines campagnes ont également été observées dans d’autres États européens. Le groupe mène des campagnes de spearphishing, de désinformation et d’influence, tout en ciblant également diverses organisations publiques et privées, avec une attention particulière portée à l’Ukraine, à la Pologne et à la Lituanie.
En Ukraine, les cibles semblent principalement appartenir aux secteurs militaire, gouvernemental et de la défense. En revanche, en Pologne et en Lituanie, le périmètre des victimes est plus large et englobe notamment les secteurs de l’industrie et de la fabrication, de la santé et de la pharmacie, de la logistique, ainsi qu’un grand nombre d’administrations et d’organismes publics.
Pour en savoir plus sur FrostyNeighbor et sa dernière campagne, consultez l’article publié par ESET Research sur WeLiveSecurity.com : « FrostyNeighbor : Nouvelles malices et manigances numériques »
Document PDF contenant un lien de téléchargement à distance
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.