Pesquisadores de cibersegurança revelaram novos detalhes sobre a infraestrutura utilizada pelo grupo de ameaça persistente avançada (APT) conhecido como Ghostwriter para lançar ataques cibernéticos. As operações do grupo, ligadas à Bielorrússia, têm como foco principal a Ucrânia e outros países do Leste Europeu, empregando táticas sofisticadas para espionagem cibernética e campanhas de desinformação. Ativo desde pelo menos 2016, o Ghostwriter, também conhecido como UNC1151 e UAC-0057, intensificou suas atividades contra alvos militares e governamentais ucranianos nos últimos meses.

Pesquisadores da Fortinet, Cyble, Deep Instinct e do Computer Emergency Response Team da Ucrânia (CERT-UA) colaboraram para mapear a infraestrutura do grupo, analisando indicadores de comprometimento (IOCs) de várias campanhas. Uma das descobertas principais foi a identificação de padrões consistentes no registro e hospedagem de domínios. O Ghostwriter utiliza frequentemente domínios com o sufixo “.shop”, registra-os através da PublicDomainRegistry e configura servidores de nomes usando o Cloudflare. Esse padrão permitiu que os pesquisadores conectassem domínios previamente não relacionados às operações do grupo.

Entre os domínios associados ao Ghostwriter, destaca-se o goudieelectric[.]shop, mencionado em relatórios da Cyble e Fortinet. A análise desse domínio e de outros revelou características comuns, como a presença de um arquivo robots.txt, que ajudou a confirmar sua associação com o grupo. O grupo costuma iniciar suas campanhas com e-mails de spear-phishing, que contêm documentos maliciosos em formato XLS com macros. Quando abertos, esses arquivos baixam uma biblioteca DLL maliciosa de um dos domínios identificados, permitindo que o Ghostwriter implante beacons do Cobalt Strike para explorar ainda mais as redes comprometidas.