2026年3月,一个活跃近十年的黑客组织再次现身。他们向乌克兰政府机构发送伪装成电信公司通知的PDF文件,点击下载按钮后,受害者被引向完全由攻击者控制的服务器——而接下来会发生什么,取决于你从哪里连接。
这个被命名为FrostyNeighbor的组织,至少从2016年开始活动。ESET威胁研究博客WeLiveSecurity的分析显示,该组织还有Ghostwriter、UNC1151、TA445、PUSHCHA、Storm-0257等多个追踪代号,是一个与白俄罗斯利益明显对齐的网络间谍行动者。其攻击目标长期集中在乌克兰、波兰、立陶宛三国,受害者涵盖政府、军方、工业企业和医疗机构。
最新攻击的精密程度令人侧目。攻击者没有广撒网,而是采用"手动确认"机制——只有当操作者核实目标值得追击后,才会投递最终载荷。这种选择性策略让安全研究人员极难在受控环境中复现攻击链,也大幅降低了被自动化检测系统发现的概率。
感染链条的设计充满欺骗性。当乌克兰受害者点击诱饵文档中的嵌入链接,服务器会投递一个名为53_7.03.2026_R.rar的压缩包。其中藏有JavaScript文件,它在前台投放一份无关紧要的PDF转移注意力,后台则悄然启动下一阶段。
这个名为PicassoLoader的下载器是该组织的惯用工具,曾被以多种编程语言重写。其核心功能在于持久化控制:PicassoLoader从命令控制服务器下载一个伪装成JPEG图片的计划任务模板,实际内容为XML配置文件。通过创建系统计划任务,攻击者得以在受害者机器上维持长期潜伏,无需持续交互即可定时唤醒恶意组件。
ESET研究人员指出,该组织的一个显著特点是持续更新工具和方法,专门用于规避安全警报。从CERT-UA到SentinelOne,从HarfangLab到StrikeReady,多家安全机构过去数年的追踪报告共同勾勒出同一条进化轨迹——而这次,他们用上了更隐蔽的服务器端过滤和多层脚本加载机制。