Білоруська група кіберзлочинців атакує українські державні установи

Компанія ESET – лідер у галузі інформаційної безпеки – виявила нову активність білоруської групи кіберзлочинців FrostyNeighbor, націлену на українські державні установи. Відповідно до телеметрії ESET, зловмисники активно проводять кібероперації, спрямовані на Східну Європу, постійно оновлюючи набір інструментів, а також вдосконалюючи способи проникнення у систему та уникнення виявлення. Ціллю цих атак є шпигунство.

Згідно з даними досліджень ESET, із березня 2026 року ця злочинна група почала здійснювати фішингові атаки із використанням шкідливих посилань у PDF-файлах, що надсилаються у вигляді вкладень на пошту. У цих атаках використовується версія PicassoLoader на JavaScript для доставки основного компонента Cobalt Strike.

Отже спочатку зловмисники надсилають PDF-файл як приманку, маскуючись під телекомунікаційну компанію "Укртелеком". Також у файлі є повідомлення із закликом до дій, зокрема "Компанія гарантує надійний захист клієнтських даних", а під ним знаходиться кнопка завантаження з посиланням на документ, розміщений на сервері, контрольованому зловмисниками. Якщо отримувач використовує IP-адресу з України та натискає кнопку, сервер натомість надсилає йому шкідливий RAR-архів. У ньому знаходиться один з файлів JavaScript, який завантажує та відкриває інший PDF-документ для відволікання уваги. Одночасно архів запускає другий JavaScript-файл – завантажувач PicassoLoader.