Powiązana z Białorusią grupa FrostyNeighbor znów atakuje. Polska i sąsiedzi wśród głównych celów cyberprzestępców

Analitycy ESET informują o nowej kampanii powiązanej z Białorusią grupy cyberszpiegowskiej. Najnowsze ataki z 2026 roku opisane na podstawie ukraińskich organizacji rządowych, pokazują niepokojącą ewolucję zagrożenia – napastnicy potrafią precyzyjnie wybierać swoje ofiary ze względu na lokalizację i podrzucają złośliwe programy wyłącznie konkretnym, wybranym celom, sprytnie oszukując systemy obronne.

FrostyNeighbor pozostaje aktywna co najmniej od 2016 roku. Większość operacji grupy była wymierzona w kraje sąsiadujące z Białorusią, przede wszystkim Ukrainę, Polskę i Litwę. FrostyNeighbor prowadzi kampanie wykorzystujące spear phishing, szerzy dezinformację i prowadzi operacje wpływu, których celem jest destabilizacja nastrojów społecznych.

Podczas gdy w Ukrainie ataki grupy koncentrują się głównie na sektorze wojskowym i obronnym, w Polsce uderzenia mają znacznie szerszy charakter. Dane ESET wskazują, że ofiarami operacji szpiegowskich padają nie tylko urzędy i organizacje rządowe, ale również szeroki wachlarz firm prywatnych, w tym przedsiębiorstwa z sektora przemysłowego i produkcyjnego, podmioty logistyczne, a także instytucje działające w obszarze ochrony zdrowia i farmacji.

FrostyNeighbor jest dobrze znana z aktywności w Polsce. Jej wcześniejsze operacje uderzały bezpośrednio w użytkowników popularnych polskich dostawców poczty elektronicznej, takich jak Onet i Interia, gdzie za pomocą fałszywych stron w ramach kampanii spearphishingowych wyłudzano dane logowania do skrzynek. Spear phishing to wysoce ukierunkowana, spersonalizowana odmiana ataku. W przeciwieństwie do zwykłego phishingu, gdzie przestępcy wysyłają tysiące masowych, losowych wiadomości, np. fałszywe maile od kuriera czy banku, spear phishing jest wymierzony w konkretną osobę, stanowisko lub firmę

Kamil Sadkowski

analityk bezpieczeństwa ESET

Sprytny filtr: Złośliwe oprogramowanie tylko dla „wybranych”

Najnowsza kampania grupy, którą eksperci ESET obserwują od marca 2026 roku, pokazuje wysoką dojrzałość technologiczną napastników. Cyberprzestępcy rozsyłają wiadomości ze złośliwymi plikami PDF, podszywając się pod firmy telekomunikacyjne (np. ukraiński Ukrtelecom).

Najważniejszą innowacją w metodach grupy jest wprowadzenie zaawansowanej weryfikacji lokalizacji ofiary. Zanim na komputer użytkownika trafi oprogramowanie pozwalające na pełne przejęcie kontroli nad systemem, serwer napastników sprawdza lokalizację i adres IP ofiary.

Jeśli system cyberprzestępców wykryje, że plik próbuje otworzyć osoba spoza zakładanego celu, serwer podsunie mu całkowicie bezpieczny, autentyczny dokument dotyczący regulacji prawnych. Złośliwy ładunek, ukryty sprytnie pod postacią np. niewinnie wyglądających plików graficznych, zostanie pobrany tylko wtedy, gdy adres IP potwierdzi, że ofiara znajduje się w atakowanym kraju, np. w Ukrainie. Celem takiej metody działania jest jak najdłuższe uniknięcie wykrycia, a co za tym idzie utrudnienie skutecznej obrony przed tym zagrożeniem

Kamil Sadkowski

analityk bezpieczeństwa ESET

Stała ewolucja zagrożenia

Modyfikacje metod i mechanizmów maskowania, jakie FrostyNeighbor wprowadziło w ostatnich miesiącach, to podręcznikowy przykład ucieczki przed systemami bezpieczeństwa. Grupa regularnie porzuca stare narzędzia na rzecz nowych, trudniejszych do wykrycia wariantów, a do infekowania komputerów potrafi wykorzystywać nawet popularne platformy biznesowe, takie jak używany w firmach wewnętrzny komunikator - Slack.

Ciągłe i bliskie monitorowanie aktywności tej grupy jest kluczowe dla ochrony infrastruktury krytycznej w naszym regionie. Nowe odkrycie analityków ESET dowodzi, że europejskie organizacje muszą stale weryfikować swoje procedury bezpieczeństwa – cyberzagrożenie zza wschodniej granicy nie maleje, lecz staje się bardziej wyrafinowane.