Un trojan bancario ben noto è riemerso con un filtro regionale, un'esca PDF ingannevole e hostname DDNS che cambiano ogni giorno, rendendo più difficile individuare il traffico di command-and-control.
Ghostwriter è di nuovo collegato a un pattern di intrusione focalizzato sull’Ucraina, questa volta combinando phishing PDF geofenced con Cobalt Strike in un modo che restringe la distribuzione e complica l’analisi.