Esta publicación cubre nuevas actividades descubiertas y atribuidas a FrostyNeighbor, las cuales apuntan a organizaciones gubernamentales en Ucrania. FrostyNeighbor ha estado ejecutando ciberoperaciones continuas, cambiando y actualizando su conjunto de herramientas con regularidad, además de modificar su cadena de compromiso y sus métodos para evadir la detección, apuntando a víctimas ubicadas en Europa del Este, según nuestra telemetría.
Puntos clave del informe:
- FrostyNeighbor es un actor de ciberespionaje de larga trayectoria que aparentemente está alineado con los intereses de Bielorrusia.
- El grupo se dirige principalmente a los sectores gubernamental, militar y clave en Europa del Este.
- Este informe documenta una nueva actividad observada que comenzó en marzo de 2026, lo que muestra la evolución continua de sus herramientas y cadenas de compromiso.
- FrostyNeighbor utiliza la validación del lado del servidor de sus víctimas antes de entregar el payload final.
- El grupo ha estado activo recientemente en campañas dirigidas a organizaciones gubernamentales en Ucrania.
Introducción
FrostyNeighbor, también conocido como Ghostwriter, UNC1151, UAC-0057, TA445, PUSHCHA o Storm-0257, es un grupo que presuntamente opera desde Bielorrusia.. Según Mandiant, el grupo ha estado activo desde al menos 2016. La mayoría de las operaciones de FrostyNeighbor se han dirigido a países vecinos de Bielorrusia; una pequeña minoría se ha observado en otros países europeos. FrostyNeighbor realiza campañas que utilizan spearphishing (phishing dirigido), difunden desinformación e intentan influir en sus objetivos (como la actividad de influencia de Ghostwriter), pero también ha comprometido a una variedad de entidades gubernamentales y del sector privado, con un enfoque en Ucrania, Polonia y Lituania.
FrostyNeighbor ha demostrado una evolución continua en sus tácticas, técnicas y procedimientos (TTPs), aprovechando a lo largo del tiempo un arsenal diverso de malware y mecanismos de entrega para atacar a las entidades. Los desarrollos clave incluyen el despliegue de múltiples variantes del downloader de payload principal del grupo, denominado PicassoLoader por el CERT-UA. Las variantes de este downloader están escritas en .NET, PowerShell, JavaScript y C++. El nombre proviene del hecho de que recupera un beacon de Cobalt Strike, desde un entorno controlado por el atacante, disfrazado como una imagen renderizable o sutilmente oculto en un tipo de archivo asociado a la web, como CSS, JS o SVG. Cobalt Strike es un marco de post-explotación ampliamente utilizado tanto por pentesters como por actores de amenazas, y su beacon asociado actúa como un implante inicial, lo que permite al atacante controlar por completo la computadora de la víctima comprometida.
Además, el grupo utiliza una amplia variedad de documentos señuelo para comprometer a sus objetivos, como CHM, XLS, PPT o DOC, y ha explotado la vulnerabilidad de WinRAR CVE-2023-38831. FrostyNeighbor también ha explotado servicios legítimos como Slack para la entrega de payloads, y Canarytokens para el rastreo de víctimas, lo que complica los esfuerzos de detección y atribución.
Si bien los ataques a Ucrania parecen centrarse en entidades militares, del sector de defensa y gubernamentales, la victimología en Polonia y Lituania es más amplia e incluye, entre otros, una gran variedad de sectores como el industrial y de manufactura, salud y farmacéutico, logística y muchas organizaciones gubernamentales. Dado que este informe se basa únicamente en nuestra telemetría, no se pueden excluir otras campañas contra entidades en países de la misma región.
FrostyNeighbor ha realizado campañas de spearphishing dirigidas a usuarios de organizaciones polacas, centrándose en los principales proveedores de correo electrónico gratuito como Interia Poczta y Onet Poczta. Estas campañas incluían páginas de inicio de sesión falsificadas diseñadas para recolectar credenciales. Además, el CERT-PL informó que el grupo explotó la vulnerabilidad XSS CVE-2024-42009 en Roundcube, la cual permite la ejecución de JavaScript al abrir mensajes de correo electrónico armados como armas cibernéticas, para exfiltrar las credenciales de la víctima. Esto refleja el esfuerzo del grupo tanto en el compromiso por malware como en la recolección de credenciales.
Publicaciones anteriores
Las campañas de FrostyNeighbor han estado activas durante años y, por lo tanto, han sido ampliamente documentadas públicamente a lo largo del tiempo. Algunas de estas incluyen informes de julio de 2024, cuando el CERT-UA informó sobre un aumento de la actividad atribuida al grupo, dirigida a entidades gubernamentales ucranianas. En febrero de 2025, SentinelOne documentó un aumento de la actividad dirigida al gobierno ucraniano y a activistas de la oposición en Bielorrusia, utilizando nuevas adaptaciones de los payloads observados anteriormente.
En agosto de 2025, HarfangLab observó nuevos grupos de actividad que involucraban archivos maliciosos en cadenas de compromiso específicas para atacar a entidades ucranianas y polacas. Finalmente, en diciembre de 2025, StrikeReady documentó una nueva técnica de anti-análisis, utilizando CAPTCHAs dinámicos que las víctimas tenían que resolver, ejecutados por una macro VBA en el documento señuelo.
Actividad recientemente descubierta
Desde marzo de 2026, hemos detectado nuevas actividades que atribuimos a FrostyNeighbor, utilizando enlaces en archivos PDF maliciosos enviados a través de archivos adjuntos de spearphishing para atacar a organizaciones gubernamentales en Ucrania. La cadena de compromiso es la más nueva observada hasta la fecha, utilizando una versión en JavaScript de PicassoLoader para entregar un payload de Cobalt Strike, como se ilustra en la Figura 1.
Comienza con un archivo PDF señuelo borroso llamado 53_7.03.2026_R.pdf, que se muestra en la Figura 2, suplantando a la empresa de telecomunicaciones ucraniana Ukrtelecom, con un mensaje que supuestamente "garantiza la protección confiable de los datos de los clientes" (traducido automáticamente), y un botón de descarga con un enlace que lleva a un documento alojado en un servidor de entrega controlado por el grupo.
Si la víctima no es de la ubicación geográfica esperada, el servidor entrega un archivo PDF benigno con el mismo nombre, 53_7.03.2026_R.pdf, relacionado con regulaciones en el campo de las comunicaciones electrónicas de 2024 a 2026 de la Comisión Nacional para la Regulación Estatal de las Comunicaciones Electrónicas, el Espectro de Radiofrecuencias y la Prestación de Servicios Postales de Ucrania (nkek.gov.ua), como se muestra en la Figura 3.
Si la víctima está utilizando una dirección IP de Ucrania, el servidor en su lugar entrega un archivo RAR llamado 53_7. 03.2026_R.rar, que contiene la primera etapa del ataque llamada 53_7. 03.2026_R.js ―un archivo JavaScript que suelta y despliega un archivo PDF como señuelo―. Simultáneamente, también ejecuta la segunda etapa: una versión en JavaScript del downloader PicassoLoader, conocido por ser utilizado por el grupo. El script de la primera etapa ha sido desofuscado y refactorizado para legibilidad, con una versión resumida provista en la Figura 4.
En la primera ejecución, el script decodifica y despliega a la víctima el mismo señuelo PDF ilustrado en la Figura 3, y se ejecuta a sí mismo con el flag --update para alcanzar la otra sección del código; los otros flags no se usan en absoluto.
Durante la segunda ejecución, el script suelta el downloader de segunda etapa (PicassoLoader), el cual está embebido en el script (codificado usando base64) como %AppData%\WinDataScope\Update.js, y descarga una plantilla de tarea programada desde https://book-happy.needbinding[.]icu/wp-content/uploads/2023/10/1GreenAM.jpg, como se muestra en la Figura 5.
A pesar de que se solicita una imagen JPG, el servidor responde con contenido basado en texto, utilizando las cabeceras Content-Type y Content-Disposition para anunciar un archivo adjunto XML desde su servidor de C&C alojado detrás de la infraestructura de Cloudflare:
Content-Type: application/xml
Server: cloudflare
Content-Disposition: attachment; filename="config.xml"
Para lograr la persistencia y activar la primera ejecución de PicassoLoader, el script sustituye a continuación los valores de los marcadores de posición por los datos analizados del archivo de respuesta 1GreenAM.jpg:
- <StartBoundary></StartBoundary>,
- <Command>1</Command>, y
- <Arguments>1</Arguments>.
La primera etapa, 53_7.03.2026_R.js, también deja caer un archivo REG bajo %AppData%\WinDataScope como WinUpdate.reg, cuyo contenido es importado al registro por el downloader PicassoLoader. El script de PicassoLoader ha sido desofuscado y refactorizado para facilitar su lectura, con una versión abreviada en la Figura 6.
Figura 6. JavaScript PicassoLoader downloader de segunda etapa
Cuando se ejecuta, PicassoLoader genera la huella digital (fingerprint) de la computadora de la víctima recolectando el username, nombre de la computadora, versión del SO, el tiempo de arranque de la computadora, el tiempo actual, y la lista de procesos en ejecución con sus IDs de proceso (PIDs). Cada 10 minutos, el fingerprint de la computadora comprometida es enviado al servidor C&C vía una petición HTTP POST ahttps://book-happy.needbinding[.]icu/employment/documents-and-resources. Si el contenido de la respuesta del servidor C&C es mayor a 100 bytes, los datos recibidos son ejecutados utilizando el método eval.
La decisión de entregar o no un payload es muy probablemente realizada de forma manual por los operadores, basándose en la información recolectada para decidir si la víctima es de interés. Si lo es, el servidor C&C responde con un JavaScript dropper de tercera etapa para Cobalt Strike; de lo contrario, devuelve una respuesta vacía. Este script de tercera etapa ha sido desofuscado y refactorizado para legibilidad, con una versión resumida provista en la Figura 7.
Figura 7. Cobalt Strike dropper de tercera etapa
Este script archivo comienza copiando el rundll32.exe legítimo a %ProgramData%\ViberPC.exe, muy probablemente para evadir algunos mecanismos de seguridad o reglas de detección.
Luego, un Cobalt Strike beacon embebido en esta etapa es decodificado en base64 y escrito a disco como %ProgramData%\ViberPC.dll.. Finalmente, la persistencia es lograda creando e importando un archivo REG llamadoViberPC.reg, el cual registra en la llave de ejecución HKCU Run un archivo LNK, llamado %ProgramData%\ViberPC.lnk, que ejecuta la versión copiada de rundll32.exe con el argumento de línea de comandos %ProgramData%\ViberPC.dll, llamando a su exportación DLL SettingTimeAPI.
El payload final es un Cobalt Strike beacon que contacta a su servidor C&C en https://nama-belakang.nebao[.]icu/statistics/discover.txt.
Conclusión
Las campañas del grupo continúan enfocándose en Europa del Este, con un notable énfasis en los sectores gubernamental, defensa y clave, especialmente en Polonia, Lituania y Ucrania, según la telemetría de ESET.
El payload solo es entregado luego de la validación de la víctima del lado del servidor, combinando chequeos automatizados del user agent solicitante y la dirección IP con la validación manual por parte de los operadores. El monitoreo continuo y cercano de las operaciones del grupo, infraestructura y cambios en el conjunto de herramientas es esencial para detectar y mitigar futuras operaciones.
Para cualquier consulta sobre nuestras investigaciones publicadas en WeLiveSecurity, póngase en contacto con nosotros en threatintel@eset.com.ESET Research ofrece informes privados de inteligencia APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence.
IoCs
Puede encontrar una lista completa de indicadores de compromiso (IoCs) y muestras en nuestro repositorio GitHub.
Archivos
| SHA‑1 | Filename | Detection | Description |
| 776A43E46C36A539C916 |
53_7.03.2026_R |
JS/TrojanDropper.Fr |
Lure RAR archive. |
| 8D1F2A6DF51C7783F2EA |
53_7.03.2026_R |
JS/TrojanDropper.Fr |
JavaScript dropper. |
| B65551D339AECE718EA1 |
Update.js | JS/TrojanDownloader |
JavaScript PicassoLoader downloader. |
| E15ABEE1CFDE8BE7D87C |
Update.js | JS/TrojanDropper.Fr |
Cobalt Strike dropper. |
| 43E30BE82D82B24A6496 |
ViberPC.dll | Win32/CobaltStrike. |
Cobalt Strike beacon. |
| 4F2C1856325372B9B776 |
53_7.03.2026_R |
PDF/TrojanDownloade |
Lure PDF document. |
| D89E5524E49199B1C3B6 |
Certificate.pdf | PDF/TrojanDownloade |
Lure PDF document. |
| 7E537D8E91668580A482 |
certificate.js | JS/TrojanDownloader |
JavaScript PicassoLoader downloader. |
| FA6882672AD365480098 |
certificate.js | JS/TrojanDownloader |
JavaScript PicassoLoader downloader. |
| 3FA7D1B13542F1A9EB05 |
Сетифікат_CAF.rar | JS/TrojanDropper.Fr |
Lure RAR archive. |
| 4E52C92709A918383E90 |
Сетифікат_CAF.js | JS/TrojanDropper.Fr |
JavaScript dropper. |
| 6FDED427A16D5314BA3E |
EdgeTaskMachine |
JS/TrojanDropper.Fr |
JavaScript PicassoLoader downloader. |
| 27FA11F6A1D653779974 |
EdgeSystemConfig |
Win32/CobaltStrike. |
Cobalt Strike beacon. |
Red
| IP | Domain | Hosting provider | First seen | Details |
| N/A | attachment-storage-asset- |
N/A | 2026‑03‑10 | PicassoLoader C&C server. |
| N/A | book-happy.needbindin |
N/A | 2026‑03‑10 | PicassoLoader C&C server. |
| N/A | nama-belakang.nebao[.]icu | N/A | 2026‑03‑10 | Cobalt Strike C&C server. |
| N/A | easiestnewsfromourpointof |
N/A | 2026‑04‑14 | PicassoLoader C&C server. |
| N/A | mickeymousegamesdealer.al |
N/A | 2026‑03‑26 | PicassoLoader C&C server. |
| N/A | hinesafar.sardk[.]icu | N/A | 2026‑04‑14 | PicassoLoader C&C server. |
| N/A | shinesafar.sardk[.]icu | N/A | 2026‑04‑14 | PicassoLoader C&C server. |
| N/A | best-seller.lavanill |
N/A | 2026‑04‑14 | Cobalt Strike C&C server. |
Técnicas ATT&CK de MITRE
Esta tabla se ha elaborado utilizando la versión 18 del marco MITRE ATT&CK.
| Tactic | ID | Name | Description |
| Resource Development | T1583 | Acquire Infrastructure | FrostyNeighbor acquires domain names and rents C&C servers. |
| T1608 | Stage Capabilities | FrostyNeighbor hosts the final payload on a C&C server. | |
| T1588.002 | Obtain Capabilities: Tool | FrostyNeighbor obtained a leaked version of Cobalt Strike to generate payloads. | |
| Initial Access | T1566.001 | Phishing: Spearphishing Attachment | FrostyNeighbor sends a weaponized lure document in email attachments. |
| Execution | T1204.002 | User Execution: Malicious File | FrostyNeighbor tricks its victims into opening or editing a document to gain code execution. |
| T1053.005 | Scheduled Task/Job: Scheduled Task | FrostyNeighbor uses scheduled tasks to achieve persistence. | |
| T1059 | Command and Scripting Interpreter | FrostyNeighbor uses scripting languages such as JavaScript, Visual Basic, and PowerShell. | |
| Persistence | T1060 | Registry Run Keys / Startup Folder | FrostyNeighbor uses the registry Run key and the Startup Folder to achieve persistence. |
| Defense Evasion | T1027 | Obfuscated Files or Information | FrostyNeighbor obfuscates scripts and compiled binaries. |
| T1027.009 | Obfuscated Files or Information: Embedded Payloads | FrostyNeighbor embeds next stages or payloads inside the initial lure document. | |
| T1036.005 | Masquerading: Match Legitimate Resource Name or Location | FrostyNeighbor drops malicious files using common Microsoft filenames and locations. | |
| Discovery | T1057 | Process Discovery | PicassoLoader collects the list of running processes. |
| T1082 | System Information Discovery | PicassoLoader collects system and user information. | |
| Command and Control | T1071.001 | Application Layer Protocol: Web Protocols | FrostyNeighbor uses HTTPS for C&C communication and payload delivery. |
| Exfiltration | T1041 | Exfiltration Over C2 Channel | FrostyNeighbor uses HTTPS with Cobalt Strike. |
