Die Kölner Behörde beobachtet laut einer Mitteilung vom Mittwochabend zudem eine fortgesetzte „Verbreitung von Propaganda, Desinformation“ sowie weitere Einflussnahmeversuche zu Russlands Gunsten. Ein IT-Sicherheitsdienstleister habe weiter berichtet, „dass kompromittierte E-Mail-Accounts ukrainischer Militärangehöriger genutzt werden, um Phishing-Angriffe gegen Politikerinnen und Politiker verschiedener europäischer Regierungen durchzuführen“. Die dabei verwendete Schadsoftware weise Ähnlichkeiten zur „Ghostwriter“-Kampagne auf.

Nachdem wenige Tage nach Beginn des russischen Angriffskriegs gegen die Ukraine, Anfang März, erneute Angriffe des Cyberakteurs „Ghostwriter“ gegen deutsche T-Online.de-E-Mail-Adressen festzustellen gewesen seien, könne dem Akteur nun die neu registrierte Domain dienste-email.eu zugeordnet werden, warnte der Inlandsgeheimdienst. Hier sei Vorsicht geboten, auch wenn bislang noch keine konkreten Angriffsaktivitäten unter Nutzung dieser Domain festzustellen seien.

Das Auswärtige Amt hatte im September vergangenen Jahres berichtet, der Bundesregierung lägen „verlässliche Erkenntnisse vor, auf Grund derer die ‚Ghostwriter‘-Aktivitäten Cyberakteuren des russischen Staates und konkret dem russischen Militärgeheimdienst GRU zugeordnet werden können“. „Die Arbeit von Sicherheitsexperten in Unternehmen wird immer wichtiger“, sagte BfV-Vizepräsident Sinan Selen am Donnerstag bei einer gemeinsamen Veranstaltung des Verfassungsschutzes und der Allianz für Sicherheit in der Wirtschaft in Berlin. Von der Idee, dass wirtschaftliches Handeln und geopolitische Lagen getrennt voneinander betrachtet werden könnten, müssten sich alle deutschen Firmen verabschieden.