Profil de la menace : FrostyNeighbor / Ghostwriter / UNC1151
FrostyNeighbor est un groupe APT (Advanced Persistent Threat) actif depuis au moins 2016, attribué à la Biélorussie par plusieurs organisations de threat intelligence dont ESET Research. Il opère sous de multiples alias dans les bases de données sectorielles : Ghostwriter (Mandiant), UNC1151 (Google TAG), UAC-0057 (CERT-UA), TA445 (Proofpoint), PUSHCHA et Storm-0257 (Microsoft).
Son périmètre opérationnel cible principalement l’Ukraine (secteurs gouvernemental, militaire, défense) ainsi que la Pologne et la Lituanie (industrie, santé, logistique, administrations). Les campagnes menées combinent spearphishing ciblé, désinformation et opérations d’influence, avec pour objectif final l’espionnage stratégique.
| TLP:WHITE — Résumé pour équipes SOC
Groupe : FrostyNeighbor | Alias : Ghostwriter, UNC1151, UAC-0057, TA445, Storm-0257 | Attribution : Biélorussie | Actif depuis : 2016 | Cibles 2026 : Ukraine (gov/mil/def) | Vecteur : spearphishing PDF | Payload final : Cobalt Strike Beacon | Détection ESET : Active depuis mars 2026 |
Kill chain détaillée : analyse technique de la campagne mars 2026
Étape 1 — Vecteur initial : spearphishing PDF avec leurre Ukrtelecom
La chaîne d’infection débute par l’envoi d’un e-mail de spearphishing embarquant un document PDF délibérément dégradé visuellement. L’image floue constitue un mécanisme d’ingénierie sociale classique visant à inciter la victime à cliquer sur un bouton de « téléchargement » intégré au document. Le leurre usurpe l’identité d’Ukrtelecom, opérateur télécoms ukrainien de référence, et invoque la thématique de la « protection des données clients » pour conférer une légitimité apparente à la démarche.
Étape 2 — Géo-filtrage IP côté serveur : protection de l’infrastructure C2
Le clic sur le lien déclenche une requête HTTP vers un serveur contrôlé par le groupe. Le serveur C2 effectue une validation géographique côté serveur : seules les connexions provenant d’adresses IP géolocalisées en Ukraine déclenchent la livraison du payload malveillant. Les requêtes issues d’autres IP — notamment les sandboxes d’analyse, les infrastructures de threat intelligence ou les chercheurs hors Ukraine — reçoivent un document bénin.
Ce mécanisme de géo-filtrage constitue une mesure OPSEC (operational security) significative : il préserve la confidentialité du payload final, complique l’analyse automatisée et réduit l’exposition de l’infrastructure C2 aux équipes de détection.
Étape 3 — Dropper RAR + JavaScript : déploiement de PicassoLoader (variante JS)
En cas de validation réussie, le serveur délivre une archive RAR contenant un fichier JavaScript. À l’exécution, le script réalise deux actions simultanées : (1) il affiche un document PDF leurre cohérent avec le contexte initial pour éviter d’éveiller les soupçons de la victime ; (2) il déploie PicassoLoader dans sa nouvelle variante JavaScript.
Cette migration vers JavaScript représente une évolution tactique notable par rapport aux versions antérieures documentées. L’adoption d’un langage de scripting natif au système réduit l’empreinte sur le disque, contourne les détections basées sur les signatures de binaires PE et s’intègre plus naturellement dans les flux d’exécution légitimes du système d’exploitation.
Étape 4 — PicassoLoader JS : beacon C2 et collecte de profil système
Une fois déployé, PicassoLoader procède à une collecte systématique de métadonnées système : nom d’utilisateur (username), hostname, version du système d’exploitation, timestamp de démarrage (boot time), timestamp système actuel, liste exhaustive des processus actifs avec leurs PID associés.
Ces données sont exfiltrées vers le serveur C&C à intervalle fixe de 10 minutes. Ce rythme de beacon régulier permet aux opérateurs de maintenir une visibilité continue sur l’état de la machine tout en restant sous les seuils de détection des systèmes de surveillance comportementale moins sensibles.
Étape 5 — Validation manuelle et staging conditionnel de Cobalt Strike
La transition vers la phase post-exploitation n’est pas automatisée. Les opérateurs analysent manuellement les données collectées par PicassoLoader pour évaluer l’intérêt stratégique de la cible. Cette approche « hands-on keyboard » présente plusieurs avantages tactiques : minimisation des faux positifs, réduction de l’exposition du payload final et adaptation contextuelle des prochaines étapes en fonction du profil de la victime.
Lorsqu’une cible est qualifiée, le serveur C&C délivre un troisième loader JavaScript qui procède au staged loading de Cobalt Strike Beacon. Ce framework post-exploitation, initialement développé pour le red teaming, offre aux opérateurs des capacités complètes : mouvement latéral, exfiltration de données, persistance, élévation de privilèges et pivot réseau.
Analyse des évolutions tactiques 2026
Adoption du JavaScript comme langage de loader : rupture avec les loaders PE traditionnels, réduction de l’empreinte disque, contournement des signatures AV/EDR basées sur les binaires natifs.
Géo-filtrage IP en validation C2 : mesure OPSEC de premier niveau, protection de l’infrastructure et du payload final contre l’analyse externe, complexification du sandboxing.
Validation manuelle des cibles : approche « hunter » vs approche automatisée, réduction du bruit et de l’exposition, témoignage d’une organisation opérationnelle mature.
Staging multi-étapes : trois stades distincts (dropper → PicassoLoader → Cobalt Strike) permettant de compartimenter l’exposition et de limiter la surface d’analyse pour chaque composant.
Citation chercheur ESET
« FrostyNeighbor demeure un acteur de la menace particulièrement persistant et adaptable. Le groupe fait preuve d’une grande maturité opérationnelle en s’appuyant sur des documents leurres variés, des versions constamment renouvelées de ses outils de téléchargement et de nouvelles méthodes de diffusion. Cette chaîne d’infection récemment détectée illustre sa volonté permanente de moderniser son arsenal afin d’échapper à la détection et de compromettre ses cibles. »
— Damien Schaeffer, chercheur ESET Research, auteur de la découverte et de l’analyse de la campagne.
Recommandations de détection
Les équipes SOC et CTI peuvent s’appuyer sur les indicateurs suivants pour la détection de cette campagne : surveillance des connexions HTTP sortantes régulières (intervalle ~10 min) vers des domaines non répertoriés ; détection des exécutions JavaScript anormales faisant suite à l’ouverture de fichiers RAR ; monitoring des processus enfants issus de wscript.exe ou cscript.exe ; corrélation des leurres PDF avec des thématiques Ukrtelecom.
Les IOCs complets, règles YARA et signatures de détection associées à cette campagne sont disponibles dans l’analyse technique publiée sur WeLiveSecurity.com.
