Suivre 
Le phishing reste l’un des outils les plus efficaces dans l’arsenal des cybercriminels, surtout lorsque les acteurs de la menace abusent d’identités de confiance, de comptes légitimes compromis, et de services en ligne familiers pour augmenter l’interaction des victimes. Europol note que les techniques de phishing demeurent un vecteur de distribution principal pour les logiciels malveillants voleurs de données, tandis que le dernier avis de CERT-UA montre que la même logique d’ingénierie sociale continue de diriger des campagnes ciblées contre les organisations du secteur public ukrainien.
Dans son avis du 21 mai 2026, CERT-UA a averti que UAC-0057 avait mis à jour son ensemble d’outils malveillants et utilisait OYSTERFRESH, OYSTERSHUCK, et OYSTERBLUES dans une campagne de phishing ciblant les organisations étatiques ukrainiennes. Le thème de l’appât était centré sur l’obtention de certificats via la plateforme éducative Prometheus, tandis que le savoir-faire plus large recouvre celui du cluster d’activité de longue date Ghostwriter / FrostyNeighbor / UNC1151 que les chercheurs en sécurité continuent d’associer à des opérations d’espionnage alignées sur la Biélorussie contre les entités gouvernementales ukrainiennes.
Des rapports récents montrent que l’activité de Ghostwriter en 2026 contre l’Ukraine n’est pas isolée à une seule chaîne d’infection. ESET a documenté de nouvelles campagnes de mars 2026 ciblant des organisations gouvernementales ukrainiennes avec des appâts PDF géorestreints qui ont finalement livré Cobalt Strike, soulignant comment l’acteur continue de rafraîchir à la fois ses mécanismes de livraison et sa pile de logiciels malveillants. Le dernier avis UAC-0057 de CERT-UA s’inscrit dans ce même schéma d’adaptation continue, cette fois avec un nouvel ensemble d’outils de marque OYSTER distribué via des e-mails de phishing envoyés à partir de comptes réels compromis.
Inscrivez-vous à la SOC Prime Platform pour défendre de manière proactive votre organisation contre les attaques UAC-0057. Appuyez simplement sur Explorer les détections ci-dessous et accédez à un ensemble de règles de détection pertinentes, enrichi d’un CTI natif à l’IA, mappé au cadre MITRE ATT&CK®, et compatible avec un large éventail de technologies SIEM, EDR et Data Lake.
Les équipes de sécurité peuvent rechercher dans la bibliothèque du Threat Detection Marketplace en utilisant le tag « UAC-0057 » pour identifier les détections pertinentes et suivre les mises à jour de contenu associées. Les défenseurs cyber peuvent également s’appuyer sur Uncoder AI pour transformer des rapports de menace frais en requêtes optimisées pour la performance, documenter et améliorer la logique de détection, et générer des Attack Flows basés sur les derniers rapports de CERT-UA.
Analyser les attaques UAC-0057 en utilisant OYSTERFRESH, OYSTERSHUCK, et OYSTERBLUES
Selon les rapports résumant l’avis de CERT-UA, la campagne est active depuis le printemps 2026 et repose sur des e-mails de phishing à grande échelle envoyés aux organisations étatiques ukrainiennes à partir de comptes compromis appartenant à de vrais employés. Le thème de l’appât est structuré autour de l’obtention de certificats via la plateforme éducative Prometheus, ce qui aide les e-mails à paraître plausibles pour les destinataires et augmente les chances d’interaction.
La chaîne d’infection commence par un document PDF contenant un lien actif menant à une archive ZIP. Cette archive contient un fichier JavaScript classé comme OYSTERFRESH. Lors de son exécution, le script affiche un texte leurre bénin à la victime tout en démarrant discrètement le flux de travail malveillant en arrière-plan. À partir de là, OYSTERFRESH accomplit deux tâches principales : il stocke une charge utile OYSTERBLUES encodée et obfusquée dans le Registre Windows et télécharge OYSTERSHUCK, qui agit comme composant décodeur pour l’étape suivante.
Pour la déobfuscation, OYSTERSHUCK applique apparemment une séquence d’inversion de chaîne, ROT13, et décodage d’URL avant de restaurer la charge utile OYSTERBLUES. Une fois décodé, OYSTERBLUES identifie la machine compromise en collectant le nom du périphérique, le nom d’utilisateur actuel, la version du système d’exploitation, l’heure du dernier démarrage et la liste des processus en cours d’exécution. Les données collectées sont envoyées à un serveur de commande et contrôle via HTTP POST, et le serveur répond avec un JavaScript arbitraire qui est exécuté via eval, donnant ainsi effectivement aux opérateurs un contrôle à distance sur l’hôte.
Les rapports liés à CERT-UA indiquent en outre que l’étape suivante implique couramment la distribution de composants Cobalt Strike. Cela s’aligne avec le savoir-faire plus large de UAC-0057 / Ghostwriter documenté par ESET, qui montre que le groupe continue d’utiliser des téléchargeurs JavaScript livrés par phishing et une validation des charges utiles en plusieurs étapes avant de déployer des implants de plus grande valeur. En d’autres termes, le nouvel ensemble d’outils OYSTER documenté semble étendre un schéma post-compromission déjà familier plutôt que le remplacer.
Les choix d’infrastructure soutiennent également l’attribution. Les rapports sur l’avis disent que la couche de commande et contrôle de l’acteur reste masquée derrière Cloudflare, tandis que de nombreux domaines associés sont enregistrés dans la zone .icu. Associées au style d’outillage et aux cibles de la campagne, ces caractéristiques sont cohérentes avec l’activité suivie par CERT-UA comme UAC-0057, également connu publiquement sous le nom de Ghostwriter, UNC1151, et FrostyNeighbor.
Contexte MITRE ATT&CK
Exploiter MITRE ATT&CK aide à contextualiser la dernière activité de phishing UAC-0057 ciblant les organisations étatiques ukrainiennes. Sur la base des TTPs décrites dans les rapports liés à CERT-UA, les techniques ATT&CK les plus pertinentes incluent probablement Lien Spearphishing (T1566.002), Exécution de l’utilisateur (T1204), Interprète de commandes et de scripts : JavaScript (T1059.007), stockage ou abus basé sur le Registre pour la mise en scène des charges utiles, Découverte d’informations système (T1082), Découverte de processus (T1057), Transfert d’outils d’accès (T1105), et Commande et contrôle via protocoles web (T1071.001). L’utilisation probable de Cobalt Strike dans les étapes ultérieures indique également des opportunités plus larges d’exploitation postérieure, de persistance, et de mouvements latéraux une fois le point d’ancrage initial établi.
