## Charakterystyka grupy Ghostwriter (UNC1151) Według danych zespołu **CERT Polska**, grupa **UNC1151** (znana również jako **Ghostwriter**) pozostaje jednym z najbardziej aktywnych podmiotów typu APT (Advanced Persistent Threat) operujących w polskiej cyberprzestrzeni. Ich działania mają charakter długofalowy i systematyczny. ### Cele i metody działania Głównym narzędziem atakujących są **kampanie phishingowe**, których celem jest uzyskanie nieautoryzowanego dostępu do prywatnych skrzynek pocztowych obywateli. Po przejęciu konta, napastnicy przystępują do analizy jego zawartości w poszukiwaniu: * **List kontaktowych** – wykorzystywanych do typowania kolejnych ofiar i rozszerzania zasięgu ataku. * **Wrażliwych dokumentów** – zawierających poufne informacje osobiste lub zawodowe. * **Powiązanych kont** – np. w mediach społecznościowych, co umożliwia ich przejęcie i dalszą eksploatację w celach dezinformacyjnych. ### Mechanizm eksploatacji Przejęte skrzynki pocztowe służą nie tylko jako źródło informacji, ale także jako platforma do dalszych operacji. Grupa Ghostwriter wyspecjalizowała się w wykorzystywaniu tożsamości ofiar do uwiarygodnienia kolejnych ataków, co czyni ich działania wyjątkowo trudnymi do wykrycia przez standardowe filtry bezpieczeństwa.