Un nuevo informe revela actividades recientes del grupo de ciberespionaje FrostyNeighbor, que ha centrado sus esfuerzos en organizaciones gubernamentales de Ucrania. Este actor, supuestamente vinculado a los intereses de Bielorrusia, ha actualizado constantemente su conjunto de herramientas y métodos para eludir la detección, destacando su evolución en tácticas y técnicas de ataque.
La investigación señala que FrostyNeighbor ha estado activo desde al menos 2016, realizando campañas principalmente contra entidades en Europa del Este, centrándose en sectores clave, como el militar y gubernamental. Desde marzo de 2026, se han detectado nuevas técnicas de ataque, empezando con correos electrónicos de spearphishing que incluyen documentos PDF maliciosos. Si las víctimas se encuentran en Ucrania, el ataque continúa con la entrega de una carga útil a través de un script de JavaScript diseñado para ejecutar el conocido «Cobalt Strike», un framework de explotación muy utilizado en ciberataques.
Las acciones de FrostyNeighbor son particularmente preocupantes, dado su enfoque en validar a los objetivos antes de lanzar el ataque final, lo que sugiere un nivel alto de sofisticación. Las víctimas en Ucrania han sido en su mayoría entidades gubernamentales y de defensa, mientras que en Polonia y Lituania, el grupo ha apuntado a una gama más amplia de sectores, incluyendo salud y manufactura.
Los métodos de ataque del grupo incluyen el uso de documentos engañosos como archivos CHM, XLS o PST, así como vulnerabilidades en software legítimo para entregar cargas útiles ocultas. Las campañas recientes de FrostyNeighbor han evidenciado un uso ingenioso de tecnologías como el servicio de mensajería Slack, dificultando la detección y la atribución de sus operaciones.
El informe concluye que, para mitigar futuros incidentes, es crucial realizar un seguimiento continuo de las acciones y cambios en la infraestructura de FrostyNeighbor, ya que su capacidad para adaptarse a las condiciones cambiantes del ciberespacio representa una amenaza persistente para la región.
Fuente: WeLiveSecurity by eSet.
