Un acteur fantôme au service de Minsk
Depuis au moins 2016, FrostyNeighbor opère dans l’ombre des tensions géopolitiques qui déchirent l’Europe de l’Est. Ce groupe de cyberespionnage, que les chercheurs connaissent aussi sous les noms Ghostwriter, UNC1151, Storm-0257 ou encore TA445, serait piloté depuis la Biélorussie et servirait directement les intérêts stratégiques de Minsk. Sa signature : des campagnes de spearphishing millimétrées, des opérations de désinformation coordonnées et une capacité à se réinventer régulièrement pour éviter d’être détecté.
C’est dans ce contexte que les chercheurs d’ESET Research viennent de documenter une nouvelle offensive, active depuis mars 2026. La cible principale : des organisations gouvernementales ukrainiennes, dans un contexte de conflit armé où la guerre numérique se joue en parallèle des combats sur le terrain.
| Qui est FrostyNeighbor ?
Connu sous de multiples alias (Ghostwriter, UNC1151, UAC-0057, TA445, PUSHCHA, Storm-0257), ce groupe APT est actif depuis 2016. Ses victimes se concentrent en Ukraine (gouvernement, défense), en Pologne et en Lituanie (industrie, santé, logistique, administrations). Son objectif déclaré : l’espionnage au service des intérêts biélorusses. |
L’attaque commence par un simple PDF flou
Tout commence par un e-mail soigneusement ciblé. Le document PDF joint est volontairement rendu flou — une technique d’ingénierie sociale éprouvée pour pousser la victime à cliquer sur un bouton de « téléchargement ». Le document usurpe l’identité d’Ukrtelecom, l’un des principaux opérateurs de télécommunications ukrainiens, et promet une « protection fiable des données clients ».
Ce clic, anodin en apparence, connecte la victime à un serveur contrôlé par les attaquants. C’est là qu’intervient un premier mécanisme de filtrage intelligent : le serveur vérifie l’adresse IP de l’utilisateur. Si elle est ukrainienne, l’archive malveillante est livrée. Sinon, l’analyse en environnement sécurisé — un outil classique des équipes de cybersécurité — ne renvoie rien de suspect. Un bouclier numérique pour protéger toute la chaîne d’attaque.
PicassoLoader : espionner avant d’agir
Une fois l’archive téléchargée et exécutée, un fichier JavaScript se lance discrètement en arrière-plan. Il affiche un second document PDF leurre pour ne pas éveiller les soupçons, tout en déployant PicassoLoader — un outil de téléchargement que les chercheurs d’ESET ont cette fois identifié dans une nouvelle variante entièrement codée en JavaScript.
PicassoLoader ne cherche pas immédiatement à faire des dégâts. Il observe. Toutes les dix minutes, il transmet au serveur de commande et de contrôle un profil complet de la machine infectée : nom d’utilisateur, nom de l’ordinateur, version du système d’exploitation, heure de démarrage, liste des processus actifs avec leurs identifiants. Des données qui permettent aux opérateurs d’évaluer si la cible vaut la peine d’être exploitée davantage.
Cobalt Strike : l’arme finale choisie à la main
C’est ici que FrostyNeighbor se distingue d’autres groupes cybercriminels plus automatisés. La décision de passer à la phase suivante n’est pas automatique : elle est prise manuellement, par un humain, après analyse des informations collectées. Une approche dite « hands-on keyboard » qui limite les expositions inutiles et témoigne d’une organisation professionnelle.
Lorsqu’une cible est jugée intéressante, un troisième chargeur JavaScript déploie Cobalt Strike — un framework d’attaque commercialement conçu pour les tests de sécurité, mais régulièrement détourné par des groupes APT pour mener des opérations d’espionnage avancées. Mouvements latéraux, exfiltration de données sensibles, prise de contrôle à distance : les capacités sont redoutables.
Un acteur qui évolue constamment
« FrostyNeighbor demeure un acteur de la menace particulièrement persistant et adaptable. Le groupe fait preuve d’une grande maturité opérationnelle en s’appuyant sur des documents leurres variés, des versions constamment renouvelées de ses outils de téléchargement et de nouvelles méthodes de diffusion. Cette chaîne d’infection récemment détectée illustre sa volonté permanente de moderniser son arsenal afin d’échapper à la détection et de compromettre ses cibles. »
Cette analyse est signée Damien Schaeffer, chercheur chez ESET Research, qui a découvert et documenté cette campagne.
Un périmètre d’attaque qui dépasse l’Ukraine
Si les cibles ukrainiennes sont principalement issues des secteurs gouvernemental, militaire et de la défense, FrostyNeighbor élargit son spectre en Pologne et en Lituanie. Dans ces deux pays, les victimes appartiennent à des secteurs variés : industrie et fabrication, santé et pharmacie, logistique, et administrations publiques.
Cette géographie des attaques reflète fidèlement les intérêts géopolitiques de la Biélorussie : déstabiliser les pays limitrophes engagés aux côtés de l’Ukraine ou membres de l’OTAN, tout en maintenant une pression cyber constante sur Kiev.
Ce que les entreprises et institutions doivent retenir
Face à ce type de menace, plusieurs réflexes s’imposent. Les e-mails contenant des documents PDF invitant à télécharger un fichier externe doivent être traités avec une vigilance accrue, en particulier lorsqu’ils usurpent l’identité d’opérateurs ou d’institutions connues. La surveillance des connexions sortantes toutes les dix minutes vers des serveurs inconnus constitue également un signal d’alerte potentiel.
ESET Research met à disposition sur WeLiveSecurity.com l’analyse technique complète de la campagne, incluant les indicateurs de compromission (IOCs) et les détails sur les outils utilisés par FrostyNeighbor.
