15 de junho de 2026

GhostWriter expande phishing para Gmail pessoal de figuras públicas polonesas — CERT Polska atribui campanha a Bielorrússia

15 de junho de 2026

Grupo GhostWriter (UNC1151 / Storm-0257), ligado à inteligência da Bielorrússia, ampliou campanha de phishing para contas pessoais do Gmail de jornalistas, funcionários públicos e pesquisadores poloneses. Alerta foi emitido pelo CERT Polska em 13 de junho. Novos domínios maliciosos são criados quase diariamente.

Backdoor em plugins WordPress
Phishing GhostWriter Bielorrússia Gmail

O grupo GhostWriter, ligado por agências de inteligência ao serviço estatal da Bielorrússia, intensificou desde março de 2026 uma campanha de phishing contra contas pessoais do Gmail de figuras públicas polonesas, jornalistas, pesquisadores e familiares. O alerta foi emitido em 13 de junho pelo CERT Polska, que descreve a criação de novos domínios de phishing “quase diariamente” para roubar credenciais e códigos de autenticação em duas etapas. O grupo também é rastreado como UNC1151 e Storm-0257.

O que aconteceu

O CERT Polska, equipe nacional de resposta a incidentes da Polônia, divulgou em relatório recente que o GhostWriter — historicamente focado em comprometer contas de e-mail corporativo e provedores locais — expandiu seu escopo para incluir contas pessoais do Gmail desde março deste ano. Essa mudança operacional amplia significativamente o alcance da campanha, já que e-mails pessoais costumam ser menos protegidos por políticas corporativas e servem como repositório de comunicações sensíveis.

Os alvos prioritários permanecem ligados à vida pública polonesa: funcionários do governo, pesquisadores, jornalistas, servidores da administração pública e agentes de aplicação da lei. A novidade é a inclusão sistemática de familiares e contatos sociais desses alvos, em uma tentativa de explorar redes de relacionamento como caminho indireto para o objetivo principal.

O CERT Polska classifica o GhostWriter como um dos atores estatais mais ativos no monitoramento da agência, com cadência de operações que se acelerou após o início da invasão russa em larga escala da Ucrânia em 2022.

Como o ataque funciona

A engenharia do GhostWriter combina infraestrutura descartável de domínios e páginas de phishing convincentes que imitam a tela de login do Google. As páginas são desenhadas para capturar não apenas a senha, mas também o segundo fator de autenticação — códigos enviados por SMS, gerados por aplicativos autenticadores ou solicitados via prompts de aprovação. Uma vez de posse das credenciais e do código 2FA, o atacante se autentica em tempo real na conta da vítima.

Dentro do Gmail, o operador típicamente busca por listas de contatos, documentos sensíveis e contas vinculadas a outros serviços. A partir desse acesso, identifica novos alvos por meio das comunicações da vítima e procura por contas em redes sociais ou serviços de terceiros vinculadas ao mesmo e-mail, ampliando o efeito de cada conta comprometida.

“Nas últimas semanas, nossa equipe observou o uso de novos domínios servindo páginas de phishing quase diariamente.”

CERT Polska, relatório de 13 de junho de 2026

Em muitos casos, segundo os pesquisadores, os atacantes não conhecem o endereço exato do alvo e tentam variações prováveis. Como resultado, mensagens de phishing chegam a pessoas com nomes semelhantes que nada têm a ver com o alvo real — um ruído operacional que paradoxalmente ajuda a expor a campanha quando essas vítimas reportam as mensagens suspeitas.

Quem é afetado

  • Funcionários do governo polonês e da União Europeia
  • Pesquisadores e acadêmicos que tratam de temas geopolíticos do Leste Europeu
  • Jornalistas e equipes de redação
  • Servidores da administração pública e agentes de aplicação da lei
  • Tradutores e peritos judiciais — observados como categoria específica em algumas campanhas
  • Familiares e círculo social próximo dos alvos diretos

O risco não se restringe à perda do acesso ao e-mail: o GhostWriter já foi associado a operações de influência que utilizam material exfiltrado para alimentar narrativas de desinformação, falsificações e doxing direcionado.

Análise

A migração do GhostWriter de contas corporativas para Gmail pessoal é coerente com uma tendência mais ampla observada em operações estatais ao longo do último ano. À medida que organizações governamentais e da imprensa endurecem seus controles — MFA obrigatório, gestão de identidade, isolamento de dispositivos —, atacantes encontram menor resistência nas contas pessoais, que servem como ponte para conversas sensíveis, planejamento de viagens e relacionamentos com fontes.

O caso polonês também ilustra a lógica de explorar relacionamentos: o cônjuge, o filho universitário ou o velho amigo do colégio do alvo são caminhos legítimos para obter informação contextual, calendários, fotografias de viagens e — eventualmente — credenciais de redes sociais que podem ser usadas em campanhas de influência. Esse padrão remete às operações associadas ao APT28 (Fancy Bear) e a outros grupos próximos a serviços russos, com os quais o UNC1151 mantém afinidade operacional documentada.

Vale destacar que a velocidade de rotação de domínios de phishing — quase diária, segundo o CERT Polska — sugere uma operação industrializada, com pipeline próprio de geração de infraestrutura. Esse perfil contrasta com campanhas oportunistas e indica investimento prolongado e financiamento estável.

Recomendações práticas

  • Migrar para chaves de segurança física (FIDO2/WebAuthn) em vez de SMS ou códigos de aplicativo — chaves resistem a phishing em tempo real
  • Ativar o Programa de Proteção Avançada do Google para contas pessoais de jornalistas, ativistas, pesquisadores e suas famílias
  • Revisar regularmente “Atividade recente” e “Sessões ativas” no Gmail e desconectar dispositivos não reconhecidos
  • Conferir filtros e regras de encaminhamento — atacantes frequentemente criam regras para exfiltrar e-mails silenciosamente
  • Tratar mensagens com pedidos urgentes de redefinição de senha, verificação de conta ou alertas de “atividade suspeita” como suspeitas até validação por canal alternativo
  • Usar gerenciador de senhas — ele se recusará a preencher credenciais em domínios falsos, funcionando como sinal precoce de phishing
  • Verificar a URL completa antes de digitar credenciais, especialmente em links recebidos por e-mail ou aplicativos de mensagem
  • Para organizações, manter inventário de quem opera em funções sensíveis e ofertar treinamento direcionado às respectivas redes pessoais

O alerta do CERT Polska reforça que segurança digital de figuras públicas não para no perímetro institucional: o e-mail pessoal hoje é parte do tecido de comunicação política e jornalística, e merece o mesmo nível de proteção dedicado às contas corporativas.

Fonte: The Record

Matérias Relacionadas

Backdoor em plugins WordPress

Novo Nordisk, fabricante do Ozempic, confirma invasão de sistemas de TI com exposição de dados de ensaios clínicos e prestadores

15 de junho de 2026
anthropic-export-controls

Anthropic tira Fable 5 e Mythos 5 do ar para cumprir controle de exportação inédito do governo Trump sobre IA

14 de junho de 2026
splunk-cve-2026-20253

Splunk Enterprise: falha crítica CVE-2026-20253 (CVSS 9.8) permite RCE sem autenticação via PostgreSQL sidecar

14 de junho de 2026

Veja mais..

Backdoor em plugins WordPress

Novo Nordisk, fabricante do Ozempic, confirma invasão de sistemas de TI com exposição de dados de ensaios clínicos e prestadores

15 de junho de 2026
Backdoor em plugins WordPress

GhostWriter expande phishing para Gmail pessoal de figuras públicas polonesas — CERT Polska atribui campanha a Bielorrússia

15 de junho de 2026
Backdoor em plugins WordPress

Ataque a plugins WordPress da Awesome Motive planta backdoors em sites administrados — PushEngage, OptinMonster e TrustPulse comprometidos

15 de junho de 2026
23andme-bankruptcy-settlement

23andMe: administrador judicial aprova fundo de US$ 46,8 milhões para vítimas do vazamento que expôs 7 milhões de perfis genéticos

14 de junho de 2026
anthropic-export-controls

Anthropic tira Fable 5 e Mythos 5 do ar para cumprir controle de exportação inédito do governo Trump sobre IA

14 de junho de 2026
Social Media Auto Publish Powered By : XYZScripts.com