En omfattande cyberattack kampanj har nyligen upptäckts, riktad specifikt mot Ukrainas drönarsystem – inklusive vitala militära enheter och kritiska leveranskedjor. Denna kampanj, som nu spåras under namnet GhostShell (med spårningsbeteckningen MB-0009), har varit aktiv sedan minst februari 2026.

Attacken utnyttjar en smart fälla genom att skicka ut falska PDF-dokument. Dessa dokument, skrivna på ukrainska, utger sig för att vara från Besomar, ett verkligt ukrainskt företag som tillverkar försvarssystem för drönare. Titlar som rör drönarkonfigurationer och laddningsstationer används för att öka trovärdigheten i fällan.

Bakom kulisserna kopierar en dold skript automatiskt in i Windows Start-mappen, vilket möjliggör att malwaren körs varje gång datorn startar. Användaren ser oskyldiga PDF-dokument som en del av denna operation. När fällan ”sprungs” kontaktar det dolda skriptet en webbplats, cloudaxiscc, för att ladda ner mer skadlig programvara. Synaptic Systems har identifierat tre specifika filer: 122.exe, 22.exe och update.exe.

122.exe fungerar som en spionprogram, som tar skärmdumpar, samlar in datornamn och skickar information tillbaka till servern cdnexpress.cc. update.exe gömmer sig som en officiell Windows säkerhetstjänst och använder till och med en Telegram-sida för att hitta sin kommando server. Vidare innehåller det en känd datastöldsprogram, Vidar v2, vilket samlar in sparade internetlösen, webbhistorik och information om kryptovaluta-plånböcker.

Synaptic Systems betonar att, även om målet är att störa Ukrainas försvarssystem, är det viktigt att vara försiktig vid att tillskriva en specifik nation. Genom sin specialiserade utvärderingsmetod, SOLBIT-modellen, avslöjar de att detaljer som språket är lätt att förfalska. I nuläget spåras GhostShell som en självständig och väldisponerad grupp cyberkriminella. Forskare fortsätter att övervaka deras aktiviteter för att identifiera nya hot.