Segui 
Il phishing rimane uno degli strumenti più efficaci nell’arsenale dei cybercriminali, soprattutto quando gli attori delle minacce sfruttano identità fidate, account legittimi compromessi e servizi online familiari per incrementare l’interazione delle vittime. Europol osserva che le tecniche di phishing rimangono un vettore di distribuzione principale per il malware che ruba dati, mentre l’ultimo avviso del CERT-UA mostra che la stessa logica di ingegneria sociale continua a guidare campagne mirate contro le organizzazioni del settore pubblico ucraino.
Nell’avviso del 21 maggio 2026, CERT-UA ha avvertito che UAC-0057 aveva aggiornato il suo toolkit di malware e stava utilizzando OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES in una campagna di phishing mirata alle organizzazioni statali ucraine. Il tema dell’esca era incentrato sull’ottenimento di certificati tramite la piattaforma educativa Prometheus, mentre la tattica commerciale più ampia si sovrapponeva al cluster di attività Ghostwriter / FrostyNeighbor / UNC1151 di lunga data che i ricercatori di sicurezza continuano ad associare alle operazioni di spionaggio allineate con la Bielorussia contro le entità governative ucraine.
Segnalazioni recenti mostrano che l’attività di Ghostwriter del 2026 contro l’Ucraina non è isolata a una singola catena di infezione. ESET ha documentato nuove campagne del marzo 2026 mirate a organizzazioni governative ucraine con esche PDF georeferenziate che alla fine hanno distribuito Cobalt Strike, sottolineando come l’attore continui ad aggiornare sia i suoi meccanismi di consegna che il suo stack di malware. L’ultimo avviso UAC-0057 del CERT-UA si adatta a quel medesimo schema di adattamento continuo, questa volta con un nuovo toolset marcato OYSTER distribuito tramite email di phishing inviate da account compromessi del mondo reale.
Iscriviti alla piattaforma SOC Prime per difendere proattivamente la tua organizzazione dagli attacchi UAC-0057. Basta premere Esplora Rilevamenti qui sotto per accedere a uno stack di regole di rilevamento pertinente, arricchito con CTI nativa AI, mappato al framework MITRE ATT&CK® e compatibile con una vasta gamma di tecnologie SIEM, EDR e Data Lake.
I team di sicurezza possono cercare nella libreria del Threat Detection Marketplace utilizzando il tag “UAC-0057” per identificare rilevamenti pertinenti e seguire gli aggiornamenti dei contenuti correlati. I difensori informatici possono anche fare affidamento su Uncoder AI per trasformare nuovi rapporti sulle minacce in interrogazioni ottimizzate per le prestazioni, documentare e migliorare la logica di rilevamento e generare Flussi di Attacco basati sugli ultimi rapporti del CERT-UA.
Analisi degli attacchi UAC-0057 usando OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES
Secondo i rapporti che riassumono l’avviso del CERT-UA, la campagna è attiva dalla primavera del 2026 e si basa su email di phishing su larga scala inviate a organizzazioni statali ucraine da account compromessi appartenenti a veri dipendenti. Il tema dell’esca è strutturato attorno all’ottenimento di certificati tramite la piattaforma educativa Prometheus, che aiuta le email a sembrare plausibili ai destinatari e aumenta le probabilità di interazione.
La catena di infezione inizia con un documento PDF che contiene un link attivo che conduce a un archivio ZIP. Quell’archivio contiene un file JavaScript classificato come OYSTERFRESH. Quando viene lanciato, lo script visualizza un testo esca benigno alla vittima mentre avvia silenziosamente il workflow dannoso in background. Da lì, OYSTERFRESH svolge due compiti principali: memorizza un payload OYSTERBLUES codificato e offuscato nel Registro di Windows e scarica OYSTERSHUCK, che funge da componente decoder per la fase successiva.
Per la deoffuscazione, OYSTERSHUCK applica una sequenza di inversione delle stringhe, ROT13 e decodifica URL prima di ripristinare il payload OYSTERBLUES. Una volta decodificato, OYSTERBLUES raccoglie le impronte digitali della macchina compromessa raccogliendo il nome del dispositivo, il nome utente corrente, la versione del sistema operativo, l’ora dell’ultimo avvio e l’elenco dei processi in esecuzione. I dati raccolti vengono inviati a un server di comando e controllo tramite HTTP POST, e il server risponde con JavaScript arbitrario che viene eseguito tramite eval, dando effettivamente agli operatori il controllo remoto sull’host.
Rapporti collegati al CERT-UA indicano ulteriormente che la fase successiva comporta comunemente la consegna di componenti Cobalt Strike. Ciò si allinea con la più ampia tecnica artigianale UAC-0057 / Ghostwriter documentata da ESET, che mostra come il gruppo continui a utilizzare downloader JavaScript consegnati via phishing e convalida del payload in più fasi prima di distribuire impianti di alto valore. In altre parole, il nuovo toolset OYSTER documentato sembra estendere un modello post-compromesso già familiare piuttosto che sostituirlo.
Anche le scelte infrastrutturali supportano l’attribuzione. I rapporti sull’avviso affermano che il layer di comando e controllo dell’attore resta mascherato dietro Cloudflare, mentre molti dei domini associati sono registrati nella zona .icu. Insieme allo stile degli strumenti e degli obiettivi della campagna, queste caratteristiche sono coerenti con l’attività tracciata dal CERT-UA come UAC-0057, noto pubblicamente anche come Ghostwriter, UNC1151 e FrostyNeighbor.
Contesto MITRE ATT&CK
Sfruttare MITRE ATT&CK aiuta a contestualizzare l’ultima attività di phishing UAC-0057 mirata alle organizzazioni statali ucraine. Basandosi sulle TTP descritte nei rapporti collegati al CERT-UA, le tecniche ATT&CK più rilevanti probabilmente includono Spearphishing Link (T1566.002), esecuzione utente (T1204), interprete di comandi e scripting: JavaScript (T1059.007), archiviazione o abuso basata su Registro per staging del payload, scoperta informazioni di sistema (T1082), scoperta processi (T1057), trasferimento strumenti di ingresso (T1105) e comando e controllo su protocolli Web (T1071.001). Il probabile utilizzo di Cobalt Strike negli stadi successivi indica anche opportunità più ampie di post-sfruttamento, persistenza e movimento laterale una volta stabilito l’accesso iniziale.
